Guía para
La protección de datos personales
Título I
Disposiciones generales
Artículo 1. Objeto
El presente guía tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. A tales efectos, el presente respetará en todos sus términos la Ley 29733 y su reglamento, así como las recomendaciones que en su caso realice la Autoridad pertinente.
Artículo 2. Ámbito de aplicación
El presente guía será de aplicación a los datos personales que figuren registrados en soportes físicos y digitales de la Notaría Alicia Shikina, que los hagan susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos.
El texto completo de este guía se puede obtener en la dirección de Internet www.aliciashikina.com.pe
La adopción de la presente guía implica la inscripción previa de las bases de datos y ficheros de la Notaría en la Unidad Reguladora y de Control de Datos Personales.
Artículo 3. Definiciones
A los efectos del presente guía se entenderá por:
- Titular de los datos o interesado: persona física cuyos datos sean objeto de tratamiento.
- Supresión o Cancelación: procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación o supresión implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.
- Cesión o comunicación de datos: tratamiento de los datos que supone su revelación a una persona distinta del interesado.
- Previo consentimiento del titular: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente previamente el tratamiento de datos personales que le
- Datos de carácter personal: cualquier información numérica, alfabética, simbólica, gráfica, fotográfica, acústica, sonora o de cualquier otro tipo concerniente a personas físicas o jurídicas identificadas o
- Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En especial, se hace referencia a la historia clínica de un
- Destinatario o cesionario: la persona física o jurídica pública o privada u órgano administrativo, al que se revelen los
- Encargado del tratamiento: la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta de Notaria Alicia Shikina, como consecuencia de la existencia de una relación jurídica que lo vincule con la Notaría y delimita el ámbito de su actuación para la prestación de un
- Base de datos: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y
- Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
- Responsable de la base de datos o del tratamiento: persona de la Notaría que por delegación de la Notaria realiza las tareas tales como decidir sobre la finalidad, contenido y uso del tratamiento.
- Tercero: persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, de Notaría Alicia Shikina, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa de Notaría Alicia Shikina o del encargado del tratamiento.
- Tratamiento de datos: cualquier operación o procedimiento de carácter automatizado o no, que permita el procesamiento de datos personales, así como también realizar consultas, interconexiones o transferencias, grabación, conservación, elaboración, utilización, modificación, cancelación, bloqueo o supresión, su cesión a terceros a través de comunicaciones, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
- Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable interno de la base de datos o tratamiento o del responsable de seguridad.
- Copia de respaldo: copia de los datos de una base de datos automatizada en un soporte que posibilite su recuperación.
- Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad
- Bases de datos temporales: bases de datos de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un
- Identificación: procedimiento de reconocimiento de la identidad de un
- Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los
- Responsable de seguridad: persona o personas a las que el responsable de la base de datos ha asignado formalmente la función de coordinar y controlar las medidas de seguridad
- Sistema de información: conjunto de bases de datos, tratamientos, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter
- Soporte: objeto físico o que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.
- Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el
- Usuario: sujeto o proceso autorizado para acceder a datos o Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.
Artículo 4. Cómputo de plazos
En los supuestos en que esta guía señale un plazo por días se computarán únicamente los hábiles. Cuando el plazo sea mayor a quince días, los plazos se computarán en días hábiles e inhábiles, sin perjuicio de lo que dispongan las normas relacionadas al caso.
Título II
Principios de protección y derechos de las personas
Artículo 5. Finalidad de los datos
- Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Dichos datos serán tratados de forma leal y lícita.
- Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
- Los datos serán eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados.
Artículo 6. Exactitud de los datos
- Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del titular. Si los datos fueran recogidos directamente del titular, se considerarán exactos los facilitados por éste.
- Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán suprimidos y sustituidos de oficio por los correspondientes datos rectificados, o completados los mismos, en el plazo de cinco días hábiles desde que se tuviese conocimiento de la inexactitud, salvo que la norma aplicable a la base de datos establezca un procedimiento o un plazo específico para ello.
- Cuando los datos hubieran sido comunicados previamente, Notaría Alicia Shikina notificará al cesionario en el plazo de cinco días hábiles, la rectificación o cancelación En el plazo de cinco días hábiles desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y supresión notificada.
Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los titulares o interesados reconocidos en la Ley 29773 y decretos reglamentarios.
Artículo 7. Verificación de datos en solicitudes formuladas a la Administración Pública
Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de la Administración Pública, Notaría Alicia Shikina podrá efectuar en el ejercicio de sus competencias, las verificaciones necesarias para comprobar la autenticidad de los datos.
Artículo 8. Supresión de datos
- Los datos de carácter personal serán necesarios o pertinentes para la finalidad para lo que fueron registrados. Los mismos serán suprimidos cuando hayan dejado de ser pertinentes para la cual hubieran sido recabados o correspondiere de acuerdo a lo establecido por la LPDP artículo 20.
No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. - Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su supresión.
Artículo 9. Información en la recolección de datos
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
-
- De la existencia de una base de datos o tratamiento de datos de carácter personal, de la finalidad de la recolección de éstos y de los destinatarios de la información, así como el origen de los datos, indicando el colectivo de personas sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos, el procedimiento de recolección de los datos y su procedencia.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, actualización, inclusión supresión y oposición.
- De la identidad y dirección del responsable del tratamiento.
- La estructura básica de la base de datos mediante la descripción detallada de los datos identificativos, y en su caso, de los datos especialmente protegidos, así como de las restantes categorías de datos de carácter personal incluidas en el mismo y el sistema de tratamiento utilizado en su organización.
- La designación de Notaría Alicia Shikina como responsable de la base de datos.
- La posibilidad de cesión de datos y bajo qué términos.
- Medidas de seguridad adoptadas para el tratamiento de los datos personales y el respeto por los derechos fundamentales del titular.
- La destrucción de los datos una vez culminado el objeto que relaciona al titular con Notaría Alicia Shikina.
2. Aunque los datos personales fueran obtenidos de bases de tratamiento públicas y no existiera necesidad por ley de la notificación de la posibilidad de ejercer los derechos mencionados en el numeral anterior, literal d, Notaría Alicia Shikina igual informará de la posibilidad de ejercer los mencionados derechos.
3. Esta información en la recolección de datos personales sólo es necesaria cuando los mismos vayan a formar parte de una base de datos de Notaría Alicia Shikina pero dado que el interesado puede tener dudas cuando se le solicitan datos personales acerca de si estos van a formar parte de alguna base de datos para su tratamiento, la Notaría informará siempre de la finalidad de los datos cuando éstos sean recogidos a través de un formulario, especificando si van a formar parte o no del alguna base de datos de Notaría Alicia Shikina.
4. Con el fin de llevar el derecho de información a su máxima expresión, la Notaría informará de la existencia de este guía cuando recoja datos personales a través de formularios, indicando su ubicación en Internet en la web de Notaría Alicia Shikina, para su consulta, y se tendrá a su disposición una copia gratuita del mismo.
5. Cuando los datos de carácter personal no hayan sido recabados del interesado gracias a éste, el mismo deberá ser informado de forma expresa, precisa e inequívoca por Notaría Alicia Shikina dentro de los dos meses siguientes al momento de registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, de la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, inclusión e impugnación, y de la identidad y dirección del responsable del tratamiento.
Artículo 10. Consentimiento del titular
- El tratamiento de los datos de carácter personal requerirá el previo consentimiento inequívoco y expreso del interesado, salvo que la ley disponga otra cosa.
- No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Notaría en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos de la LPDP o la Constitución Política del Perú, o cuando los datos figuren en fuentes accesibles al público, de acuerdo a lo establecido en las normas mencionadas, y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por la Notaría siempre que no se vulneren los derechos y libertades fundamentales del titular.3. El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.4. En los casos en los que no sea necesario el consentimiento del titular para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse e impugnar su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, Notaría Alicia Shikina excluirá del tratamiento los datos relativos al afectado en el plazo de cinco días hábiles desde que tomó conocimiento de dicha oposición.
5. Respecto a los datos personales relativos a la salud, así como demás datos sensibles, Notaría Alicia Shikina no tratará los mismos al considerarse datos especialmente protegidos por la Constitución y la Ley 29733 y relacionados.
6. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo.
7. Cláusula de Consentimiento Informado.
Notaría Alicia Shikina se compromete a comunicar al titular de los datos personales que serán objeto de recolección y tratamiento, con la siguiente cláusula: «De conformidad con la Ley N° 297330, de 03 de Junio del 2011, de Protección de Datos Personales, los datos suministrados por usted quedarán incorporados en una base de datos, la cual será procesada exclusivamente para la siguiente
FINALIDAD: Los datos personales serán tratados con el grado de protección adecuado, adoptándose las medidas de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado por parte de terceros que lo puedan utilizar para finalidades distintas para las que han sido solicitadas al usuario. El responsable de la base de datos es Alicia Shikina Higa y la dirección donde podrá ejercer los derechos de acceso, rectificación, actualización, inclusión o supresión, es xxxxxxxxxxxxxxxxxxx – xxxxxxx según lo establecido en la LPDP».
Artículo 11. Deber de secreto
- Toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal está obligado al secreto profesional respecto de los mismos y al deber de guardarlos.
Estas obligaciones subsistirán aun después de finalizar sus relaciones con Notaría Alicia Shikina. - El incumplimiento del deber de secreto será sancionado de conformidad con lo previsto en la legislación vigente.
Artículo 12. Comunicación de datos
- Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento expreso del titular o cuando lo disponga la legislación vigente.
- Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones establecidas en la Ley 29733.
- No se considerará comunicación de datos, el acceso de un tercero a los mismos, cuando dicho acceso sea necesario para la prestación de un servicio de Notaría Alicia Shikina.
- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones de la Notaría, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el caso de incumplimiento de las estipulaciones establecidas, el encargado del tratamiento será considerado, también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.
Artículo 13. Uso de Tecnologías
- El uso de tecnologías de información y comunicación que permitan a Notaría Alicia Shikina cumplir de una forma más eficaz y eficiente sus objetivos serán utilizadas de acuerdo a lo establecido en la LPDP y en concordancia con la protección de los datos.
Artículo 14. Notaría Alicia Shikina como encargada del tratamiento de datos de otras entidades
- En el tratamiento de datos de otras instituciones y Entidades tanto dependientes de Notaría Alicia Shikina como ajenas, se aplicará este guía en su tratamiento interno, así como las medidas de seguridad acordadas con esa Notaría.
Artículo 15. Tratamiento de datos por cuenta de un tercero
- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones de Notaría Alicia Shikina y que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, otras personas. En el caso de incumplimiento de las estipulaciones establecidas, el encargado del tratamiento será considerado, también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
- Si el encargado de tratamiento necesita para la prestación de un servicio a Notaría Alicia Shikina subcontratar con un tercero parte del tratamiento deberá contar con autorización previa escrita de la Notaría. Esta autorización puede estar contemplada en el contrato del servicio con el encargado de tratamiento o ser formalizada posteriormente pero siempre antes de realizar la subcontratación. En cualquier caso, el subcontratista tendrá las obligaciones de encargado de tratamiento y seguirá las instrucciones de Notaría Alicia Shikina para ese tratamiento, así como el cumplimiento de las disposiciones legales correspondientes.
- Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a Notaría Alicia Shikina, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando exista una disposición legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos.
- En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Artículo 16. Derechos de los titulares
- Los Derechos de acceso, actualización, inclusión, rectificación, o supresión, así como a la impugnación de valoraciones personales, son personalísimos y se ejercerán ante Notaría Alicia Shikina de acuerdo a lo que establece el Art. 20 de la LPDP.
- Derecho de Acceso: El titular tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización en pantalla, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, o fotocopia, certificada o no, correo electrónico o sistema de comunicación electrónica, o cualquier otro sistema que sea adecuado a la configuración o implantación material de la base de datos o la naturaleza del tratamiento, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos o electrónicos específicos.
- Notaría Alicia Shikina resolverá sobre la solicitud de acceso en el plazo máximo de cinco días hábiles a contar desde la recepción de la solicitud. En el caso de que la Notaría no disponga de datos de carácter personal de los afectados se le comunicará igualmente en el mismo plazo. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a seis meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Podrá denegarse el acceso en los supuestos en que así lo prevea una Ley o una norma cuando éstas impidan revelar a los interesados el tratamiento de los datos a los que se refiera el acceso.
- Derecho de Actualización, Inclusión, Rectificación y de Supresión: Notaría Alicia Shikina hará efectivo el derecho de actualización, inclusión, rectificación o supresión del titular en el plazo de cinco días. En el caso de que la Notaría no disponga de datos de carácter personal de los afectados se lo comunicará igualmente en el mismo plazo. Serán rectificados los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LPDP ni en los decretos reglamentarios y, en particular, cuando tales datos resulten inexactos o incompletos. Serán suprimidos los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LPDP ni en los decretos reglamentarios y, en particular, cuando tales datos resulten inadecuados o excesivos. La supresión dará lugar al bloqueo de los datos y a su destrucción, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la destrucción. Podrán denegarse los derechos de rectificación o supresión en los supuestos en que así lo prevea una ley o una norma de o cuando éstas impidan revelar a los interesados el tratamiento de los datos a los que se refiera el acceso. Si los datos rectificados o suprimidos hubieran sido comunicados previamente, Notaría Alicia Shikina deberá notificar la rectificación o supresión efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la supresión. Cuando el titular de los datos solicite la actualización de los mismos, bajo los términos expresados en el presente artículo, Notaria Alicia Shikina procederá a su actualización en un plazo de cinco días hábiles. Asimismo, Cuando el titular de los datos solicite la inclusión de los mismos, bajo los términos expresados en el presente artículo, Notaría Alicia Shikina procederá a su inclusión en un plazo de cinco días hábiles.
Título III
Gestión y tratamiento de las bases de datos conteniendo datos personales
Artículo 17. Creación, actualización o supresión de bases de datos
- Las xxxxx de Notaría Alicia Shikina serán los encargados de la creación, modificación o supresión de bases de datos. La compañía garantizará que la siguiente información sea tratada y recogida y así lo comunicará a los titulares de los datos personales objeto de tratamiento de acuerdo a lo expresado en el artículo 9 del presente guía.
Artículo 18. Adopción de medidas de seguridad para el tratamiento de los datos personales
- Notaría Alicia Shikina adoptará un nivel alto en la recolección y tratamiento de los datos personales. Se entiende por nivel alto de protección, aquel que permite establecer medidas para garantizar la calidad y confiabilidad de los servicios, así como la integridad de los datos tratados, el objetivo de tratamiento de los mismos y el no acceso o filtración por parte de terceros no autorizados, así como garantizar el no repudio de los mismos por parte de su titular.
- Entre las medidas de seguridad, la presente guía exige y reconoce como válidas aquellas que permitan la encriptación de archivos mediante criptografía avanzada que no permitan el crackeo y hackeo de dicha información y sí su acceso mediante clave o contraseña
- Se designará un responsable de seguridad para el tratamiento de cada una de las bases de datos.
- Las bases de datos temporales serán tratadas con las medidas de seguridad de nivel alto y serán destruidas una vez haya culminado el objeto para el cual fueron recogidos sus datos.
Artículo 18. Adopción de medidas de seguridad para el tratamiento de los datos personales
1. Notaría Alicia Shikina implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
2. El documento deberá contener y tratar, como mínimo, los siguientes aspectos:
- a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
- b) Medidas, normas, procedimientos de actuación, reglas y estándares destinados a garantizar el nivel de seguridad exigido en la normativa vigente y en este guía.
- c) Funciones y obligaciones del personal.
- d) Estructura de las bases con datos de carácter personal y descripción de los sistemas de información que los tratan.
- e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
- f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
- g) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento de seguridad.
- h) Medidas a adoptar para el transporte de soportes y documentos.
- i) Medidas a adoptar para la destrucción o reutilización de los documentos y soportes.
3. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
4. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en las bases de datos o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
5. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Artículo 20. Funciones de seguridad del personal
- Las funciones y obligaciones de cada una de los usuarios o perfiles de usuario con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y establecidas en el documento de seguridad.
- El responsable de la base de datos adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
- En los planes de formación del personal de la Notaría, existirán los cursos o módulos apropiados para formar con el nivel adecuado en las normas de seguridad aplicables a las bases de datos según este guía y la normativa vigente.
Artículo 21. Identificación, autenticación y respaldos
- El responsable interno la base de datos o su tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
- Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información, así como también su verificación de que está autorizado.
- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad, que en ningún caso será superior a seis meses, y mientras estén vigentes se almacenarán de forma ininteligible.
- Se establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
- El uso de tratamiento de datos de carácter personal fuera de los locales de la ubicación de la base de datos deberá ser autorizada expresamente por el responsable interno de la misma y, en todo caso, deberá garantizarse el nivel de seguridad alto.
- Se establecerán procedimientos de actuación para la realización como mínimo quincenal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción al estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable de la base de datos se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
- Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este guía o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
Artículo 22. Registro de Incidencias y auditoría
- El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
- Se deberán consignar en este registro, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos han sido necesario grabar manualmente en el proceso de recuperación.
- Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
- La Notaría se someterá a controles externos de auditoría a los efectos de que verifique el cumplimiento de la presente guía y de los procedimientos e instrucciones vigentes en materia de seguridad de datos. Asimismo, se realizarán auditorías extraordinarias, cuando la magnitud de las modificaciones en materia de tratamiento de los datos en poder de la Notaría, así lo determine. Una vez concluida la auditoría, los informes quedarán en control de la Notaria y gerentes quiénes los analizarán a los efectos de realizarse las mejoras que se estimen necesarias.
- Notaría Alicia Shikina elaborará una memoria sobre la aplicación de la presente guía agregando las sugerencias y quejas que pudieran surgir de terceros.
Anexo 1
De acuerdo con lo dispuesto en la Ley 29733 sobre Protección de Datos Personales y Habeas Data, le informamos que sus datos pasan a formar parte de las bases de datos de Notaría Alicia Shikina, cuya finalidad es brindar servicios de asesoría legal informática, controles y mejoras de la seguridad en el tratamiento de los datos personales, así como cualquier actividad que involucre la mencionada ley a los efectos de someter a las empresas y personas a su cumplimiento. Los usos de las bases de datos son a los efectos de cumplir con las tareas descritas en este apartado.