Este documento establece un código de buenas prácticas en protección de datos personales para empleados de la Comunidad de Madrid. Incluye reglas sobre confidencialidad, uso adecuado de dispositivos electrónicos, contraseñas seguras, correo electrónico, videoconferencias y qué hacer si la información se ha visto comprometida. El objetivo es garantizar la protección y seguridad de los datos personales de los ciudadanos en posesión de los empleados.
CÓDIGO DE BUENAS PRÁCTICAS EN PDP PARA EMPLEADOS CM.ppsx
1. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CÓDIGO DE BUENAS
PRÁCTICAS EN
PROTECCIÓN DE
DATOS PERSONALES
PARA EMPLEADOS
DE LA COMUNIDAD DE
MADRID
2. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
El presente código es aplicable a todo el
personal con acceso, en el desempeño de sus
funciones, a datos personales incluidos en las
actividades de tratamiento cuyos responsables
pertenezcan a la Comunidad de Madrid (en
adelante, el personal), con independencia del
destino, condición laboral o relación por la que
se accede a la información sobre dichos datos
personales.
INTRODUCCIÓN
3. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CONFIDENCIALIDAD Y SECRETO PROFESIONAL (1 de 2)
Como personal al servicio de la Comunidad de Madrid deberás:
1. Cumplir en todo momento el deber de confidencialidad y secreto
profesional en relación con los datos personales, incluso después de
haber cesado en tus funciones o finalizado la relación contractual o
laboral.
2. Velar por preservar la integridad y confidencialidad de los datos
personales que trates, de tal manera que se garantice una seguridad
adecuada, a fin de evitar el acceso no autorizado o ilícito y la pérdida,
destrucción o daño accidental o intencionado de los datos personales.
En este sentido, deberás extremar las precauciones para no dejar a la
vista de terceros ajenos ningún soporte de información que contenga
datos personales, incluyendo las pantallas de dispositivos electrónicos,
que deberás bloquear cuando estos dispositivos estén desatendidos
(mediante salvapantalla protegida por contraseña, bloqueo del
dispositivo, etc.).
4. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CONFIDENCIALIDAD Y SECRETO PROFESIONAL (2 de 2)
De igual modo, los documentos en soporte físico (papel, unidades de
almacenamiento externo, etc.) que contengan datos personales deberán
ser almacenados bajo llave o, en su defecto, mediante cualquier otro
medio que garantice su custodia e impida el acceso no autorizado a los
mismos.
Asimismo, deberás evitar mantener conversaciones laborales accesibles
por parte de terceros ajenos, utilizando, por ejemplo, auriculares o
retirándote a un espacio en el que no estés acompañado.
No está permitido copiar, extraer o transmitir información relativa a datos
personales conocida en el desempeño de las funciones profesionales
para uso privado o para cualquier otro distinto del servicio público al que
está destinada.
5. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
3. Evitar la salida del lugar de trabajo de información y/o
documentación con datos personales, ya sea en formato
electrónico, papel o cualquier otro medio o soporte físico. Si
esta salida es imprescindible, se elaborará una relación
exhaustiva de los documentos para facilitar su control,
siguiendo las instrucciones y protocolos previstos por la
unidad competente en materia de archivos y gestión
documental, y se extremarán las precauciones para evitar
accesos no autorizados por parte de terceros u otras
brechas de seguridad en su custodia, evitando trasladar la
documentación a sitio diferente de la oficina o lugar de
teletrabajo, especialmente si se trata de documentos
originales.
SALIDA DE INFORMACIÓN DEL LUGAR DE TRABAJO
6. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
4. Garantizar que, en los casos en que la información que
contenga datos personales ya no sea necesaria o
legalmente deba ser eliminada o destruida, esta
eliminación se realice de tal manera que impida su
recuperación posterior y futuros accesos por terceros
no autorizados. En todo caso, para la destrucción o
eliminación de esta información se deberá contar con
informe favorable del Consejo de Archivos de la
Comunidad de Madrid y la correspondiente autorización
del órgano administrativo competente en materia de
archivos y patrimonio documental, así como seguir las
instrucciones y protocolos previstos al efecto.
DESTRUCCIÓN DE LOS DATOS
7. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
DISPOSITIVOS ELECTRÓNICOS CORPORATIVOS
5. Garantizar el adecuado uso y custodia de los dispositivos
electrónicos corporativos que puedan albergar datos
personales (PC, ordenadores portátiles, teléfonos móviles,
unidades de almacenamiento externo como USB o discos
duros externos, tabletas), para evitar averías, daños,
pérdidas o sustracciones, así como de las carpetas
compartidas, herramientas y aplicaciones informáticas
corporativas que se te faciliten y a las que tengas acceso, y
no utilizarlos para finalidades diferentes a las derivadas del
desempeño de tus funciones en la Comunidad de Madrid.
En concreto, no está permitido alterar la configuración
software de los equipos proporcionados por la Comunidad
de Madrid para el desempeño de las funciones
profesionales, ni conectar otros dispositivos a estos a
iniciativa del personal.
8. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
USO DE MEDIOS ELECTRÓNICOS
6. En relación con el uso de medios electrónicos utilizados para el
tratamiento de datos personales:
a) Las cuentas corporativas de usuario que se proporcionan por la
Comunidad de Madrid para el acceso a aplicaciones y herramientas
corporativas son de uso exclusivo del personal al que se le facilitan,
siendo el usuario responsable del uso que se haga de las mismas.
En ningún caso podrán ser facilitadas a terceras personas.
b) No se deben utilizar ni instalar en los dispositivos electrónicos
corporativos aplicaciones, software o herramientas que no estén
autorizadas por la Comunidad de Madrid.
9. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CONTRASEÑAS
c) Todos los dispositivos electrónicos que utilices para
el desempeño de tus funciones deberán contar con
contraseña, que no deberá ser almacenada por
defecto en el propio dispositivo ni guardada en
lugares de fácil acceso o sin protección. Esta
contraseña deberá ser robusta, solo conocida por ti
como usuario, difícil de adivinar y de tal forma que no
pueda ser asociada fácilmente a cualquier
información relacionada contigo. En todo caso, se
seguirá la política de contraseñas establecida por la
Agencia para la Administración Digital de la
Comunidad de Madrid (Madrid Digital).
10. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CONEXIONES A LA RED CORPORATIVA
d) Se debe evitar la conexión de los dispositivos
electrónicos a la red corporativa de la Comunidad
de Madrid desde lugares públicos, así como la
conexión a redes WiFi abiertas no seguras,
especialmente si se van a tratar datos personales
durante dicha conexión.
e) Para el tratamiento de datos personales en la nube
corporativa, se deberán implementar las medidas
técnicas apropiadas que garanticen una protección
adecuada de los mismos, mediante el uso de
contraseñas robustas, cifrado, o cualquier otro
método similar.
11. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CATEGORÍAS ESPECIALES DE DATOS
f) Para el tratamiento de categorías especiales de datos
personales, definidos según el artículo 9.1 del
Reglamento General de Protección de Datos (RGPD),
no se deberán utilizar herramientas o aplicaciones
informáticas que impliquen almacenamiento en la nube
corporativa, excepto si el responsable del tratamiento
ha realizado previamente el correspondiente análisis de
riesgos y ha implementado medidas adicionales de
protección en función de los datos personales a tratar,
como puede ser el cifrado en origen, así como
cualesquiera otras medidas que hagan imposible o
ineficaz el acceso no autorizado y la alteración,
destrucción o daño intencionado de los mismos.
12. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CORREO ELECTRÓNICO (1 de 2)
g) Se debe evitar el envío de correos electrónicos con información que
contenga datos personales. Si es imprescindible hacerlo, se debe
utilizar exclusivamente el correo corporativo, sin que figuren datos
personales en el asunto, y la información no deberá ir directamente en
el cuerpo del correo, sino en un documento adjunto y con acceso
cifrado. La clave de cifrado no deberá comunicarse al destinatario en el
mismo mensaje de correo, sino en otro distinto o empleando otro
medio.
Asimismo, en caso de envío de mensajes de correo a una pluralidad de
destinatarios de la Comunidad de Madrid, la dirección de correo de
dichos destinatarios se situará en copia oculta (CCO). Si los
destinatarios no pertenecen al ámbito de la Comunidad de Madrid, se
procurará enviar el mensaje de forma individual a cada uno de ellos.
13. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
CORREO ELECTRÓNICO (2 de 2)
En ningún caso se deberán abrir archivos adjuntos que
puedan llegar por correo electrónico de cuentas desconocidas
o de dudosa procedencia, ni tampoco atender peticiones para
proporcionar datos personales propios o de terceros o
credenciales de acceso.
14. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
TRANSMISIÓN DE INFORMACIÓN Y
VIDEOCONFERENCIAS
h) No se deben utilizar plataformas no autorizadas por la
Comunidad de Madrid y/o gratuitas de transmisión de archivos
informáticos de grandes dimensiones por internet para el
envío de información que contenga datos personales, así
como tampoco convertidores gratuitos sobre archivos que
contengan datos personales.
i) Respecto a las videoconferencias que se efectúen en el
desarrollo de las labores profesionales, se deberá evitar el
establecimiento de comunicaciones con desconocidos o que
no sean de confianza. Asimismo, se recomienda apagar o
silenciar la cámara y el micrófono cuando el sistema no esté
en uso y evitar que, cuando estén encendidos, muestren y
transmitan datos personales propios o de terceros ajenos.
15. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
DISPOSITIVOS PERSONALES
j) No debes alojar datos personales o confidenciales
procedentes de la actividad profesional en dispositivos
personales, pues tú, como propietario de estos, serás el
único responsable del mal uso o del riesgo sobre la
seguridad y privacidad de los datos.
16. Grupo de Trabajo para la
Protección de Datos Personales
Comunidad de Madrid
¿Y SI LA INFORMACIÓN SE HA VISTO
COMPROMETIDA?
7. Si tienes sospecha de que la información que contiene datos
personales ha podido verse comprometida, deberás
comunicárselo con carácter inmediato a tu superior jerárquico
y/o al Jefe de Área de Madrid Digital de la consejería u
organismo en el que estés prestando tus servicios.
Si en el centro directivo del que dependes hay establecidas
instrucciones más detalladas al respecto, deberás proceder
según esas indicaciones.