Descripción general de las medidas técnicas y organizativas de conformidad con el artículo 32 (1) del RGPD
Responsable:
Deutsche Bureau AG, Friedrichstraße 171, 10117 Berlin, Alemania
Actualidad:
17/01/2020
1. Control de entrada
Obligación del adjudicatario de denegar la entrada a personas no autorizadas a las instalaciones en las que se realiza el tratamiento de los datos de contrato (control de entrada).
Aplicación a través de: sistema de alarma, contratación de un servicio de seguridad externo, sistema de bloqueo con transponedor, videovigilancia de los accesos, intercomunicadores en las entradas, sensores de movimiento, selección cuidadosa del personal de limpieza y vigilancia, como norma general, política de no visitantes, uso de identificaciones de visitantes para las excepciones
2. Control de accesibilidad
Obligación del adjudicatario de impedir que los sistemas de tratamiento de datos puedan ser utilizados por personas no autorizadas, especialmente mediante el uso de métodos de cifrado que sean acordes con el estado actual de la técnica (control de accesibilidad).
Aplicación mediante: contraseñas seguras para cuentas de usuario (se deben crear conforme a reglas definidas), mecanismos de bloqueo automático, autenticación de dos factores, cifrado de datos bancarios y soportes de datos, conexiones VPN o TLS con indicación del nombre de usuario y contraseña
3. Control de acceso
Obligación del adjudicatario de asegurarse, especialmente mediante el uso de métodos de cifrado y autenticación acordes con el estado actual de la técnica, de que, para la utilización de un sistema de tratamiento de datos, las personas autorizadas únicamente puedan acceder a los datos de contrato que sean de su competencia, que traten dichos datos solo por indicación del adjudicatario y que durante el tratamiento los datos de contrato no puedan ser leídos, copiados, modificados o eliminados (control de acceso).
Aplicación a través de: conceptos de autorización y derechos de acceso adecuados a las necesidades, documentación de accesos, métodos de cifrado y autenticación, contraseñas seguras, mecanismos de bloqueo automático
4. Control de transferencia
Obligación del adjudicatario de asegurarse, especialmente mediante el uso de métodos de encriptación y autenticación acordes con el estado actual de la técnica, de que los datos de contrato no puedan ser leídos, copiados, modificados o eliminados durante la transferencia electrónica o durante su transporte, y de que se pueda comprobar y constatar en qué puntos está prevista la transferencia de datos de contrato a través de instalaciones para la transferencia de datos (control de transferencia).
Aplicación a través de: cifrado, redes privadas virtuales (VPN), firma electrónica
5. Control de introducción
Obligación del adjudicatario de asegurarse de que se pueda comprobar y constatar con posterioridad si se han introducido, modificado, transferido o eliminado datos de contrato en los sistemas de tratamiento de datos y quién ha realizado las acciones (control de introducción), así como de que los datos de contrato se puedan relacionar en todo momento con su origen (control de autenticidad).
Aplicación a través de: protocolización, gestión de documentos, documentación de entrada y salida
6. Control de disponibilidad
Obligación del adjudicatario de asegurarse de que los datos de contrato están protegidos contra su destrucción/pérdida accidental o intencionada (control de disponibilidad). Esto incluye especialmente la garantía de la capacidad de los sistemas y servicios, la custodia de los datos de contrato conforme a los principios de una protección de datos adecuada, así como la protección periódica de los datos, incluyendo copias de seguridad periódicas, en la medida necesaria.
Aplicación a través de: control de versión/protección contra escritura, estrategia de copia de seguridad, sistema de alimentación ininterrumpida (SAI), protección antivirus, cortafuegos, mantenimiento del sistema/pruebas de capacidad, actualizaciones, vías de notificación y planes de emergencia
7. Control de separación
Obligación del adjudicatario de asegurarse de que los datos de contrato recopilados para diferentes propósitos se puedan tratar por separado (control de separación).
Aplicación a través de: derechos de acceso por separado
8. Control de ejecución
Obligación del adjudicatario de asegurase de que los principios de protección de datos se apliquen de forma efectiva y de que en el tratamiento se adopten las garantías necesarias para satisfacer los requisitos en materia de protección de datos y para proteger los derechos de los implicados.
Aplicación a través de: instrucción y formación del personal, controles/inspecciones aleatorios
9. Control de eficacia
Obligación del adjudicatario de implementar un procedimiento para la comprobación, valoración y evaluación periódicas de la efectividad de las medidas técnicas y organizativas adoptadas para garantizar la seguridad del tratamiento.
Aplicación a través de: documentación completa, actual y transparente de los procesos de tratamiento de datos, gestión de la privacidad, gestión de la respuesta a incidentes, pruebas de capacidad/inspecciones aleatorias/ataques simulados "del exterior", adaptaciones al estado de la técnica (actualizaciones, formación)
10. Control del encargo
Obligación del adjudicatario de asegurarse de que los datos personales sean tratados únicamente cumpliendo las indicaciones del mandante y de que las indicaciones recibidas se apliquen sin demora.
Aplicación a través de: configuración unívoca del contrato, instrucción del personal, gestión formalizada del encargo, selección estricta del proveedor de servicios, obligación de convicción previa, inspecciones de seguimiento