Registro de Actividades
1. Identificación de la organización Responsable del Tratamiento
De conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la organización Responsable del tratamiento es quien determina los fines y los medios del tratamiento de datos personales (Ficheros).
|
Nombre fiscal |
Diputación de Granada |
|
NIF |
P1800000J |
|
Actividad |
Administración pública |
|
Dirección |
C/ Periodista Barrios Talavera, 1 – 18014 Granada |
|
Teléfono |
958 247 500 |
|
|
dipgra@dipgra.es |
|
Marca comercial |
Diputación Provincial de Granada |
|
Web |
|
|
E-mail Notificación AEPD |
dpd@dipgra.es |
|
E-mail ejercicio derechos |
dpd@dipgra.es |
|
Representante legal |
Francisco Rodríguez Guerrero |
Identificación del delegado de protección de datos (DPO)
|
|
|
|
Dirección |
C/ Periodista Barrios Talavera nº 1 18014 Granada |
|
|
2. Identificación de los tratamientos de datos personales tratados por cuenta propia
Un fichero es un conjunto estructurado de datos personales accesibles con arreglo a criterios determinados y susceptibles de tratamiento para un fin específico.
|
Tratamiento |
Descripción |
|
EDUSI (Estrategias de desarrollo sostenible integrado) GRANADA PRÓXIMA |
Gestión de los datos tratados por las Estrategias de las EDUSI, relacionadas específicamente con la operación “GRANADA PRÓXIMA” y sus 3 líneas de trabajo (línea de apoyo al comercio local, línea de apoyo al emprendimiento y línea de apoyo a la inserción para el empleo) |
3. Registro de las actividades del tratamiento
De conformidad con el artículo 30 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (GDPR), la Organización deberá llevar y conservar actualizado un Registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en formato electrónico, que contenga:
- Fines del tratamiento.
- Descripción de las categorías de interesados.
- Descripción de las categorías de datos.
- Categorías de Destinatarios.
- Transferencias de datos a terceros países, con la identificación de los mismos y documentación de garantías adecuadas.
- Cuando sea posible:
- Plazos previstos para la supresión de las diferentes categorías de datos.
- Descripción general de las medidas técnicas y organizativas de seguridad.
Los Responsables del tratamiento, o sus Representantes, deberán poner a disposición de la Autoridad de control este Registro de actividades, cuando esta lo solicite.
Este Registro se ha documentado para cada uno de los Tratamientos descritos en el apartado 2 y se detallan a continuación. Al final del documento se detalla una descripción general de las medidas técnicas y organizativas implementadas por la Organización, desde el diseño y por defecto, en todas las fases del tratamiento.
4. EDUSI (Estrategias de desarrollo sostenible integrado) GRANADA PRÓXIMA
|
Tratamiento |
|
|
Descripción |
Gestión de los datos tratados por las Estrategias de las EDUSI, relacionadas específicamente con la operación “GRANADA PRÓXIMA” y sus 3 líneas de trabajo (línea de apoyo al comercio local, línea de apoyo al emprendimiento y línea de apoyo a la inserción para el empleo) |
|
Finalidades |
Fines de interés público basados en la legislación vigente |
|
Legitimación |
Para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6.1.e GDPR) |
|
Origen de los datos |
Administraciones públicas, Entidad privada, El mismo interesado o su representante legal |
|
Categorías de interesados |
Representante legal, Solicitantes |
|
Criterios de conservación |
Conservados durante no más tiempo del necesario para mantener los fines de archivo en INTERÉS PÚBLICO |
|
Sistema de tratamiento |
Parcialmente Automatizado |
|
Categorías de datos |
|
|
Datos identificativos |
DNI/NIF/NIE/Pasaporte, Nombre y apellidos, Dirección postal o electrónica, Teléfono |
|
Categorías de datos especiales o penales |
No existen |
|
Otro tipo de datos |
Detalles de empleo, Información comercial, Económicos, financieros y de seguro, Transacciones de bienes y servicios |
|
Categorías de destinatarios |
|
|
Cesiones |
|
|
Transferencias internacionales |
No existen |
4. Locales o delegaciones
Confidencialidad de la Información
|
Información del tratamiento al interesado |
Medidas |
Riesgo |
|
¿Se informa al interesado de los detalles del tratamiento? |
Sí, con cláusulas personalizadas de protección de datos. |
Bajo |
|
¿Se informa al interesado de los derechos que le asisten? |
Sí, con cláusulas personalizadas de protección de datos. |
Bajo |
|
Transporte y transmisión de datos |
Medidas |
Riesgo |
|
Transporte de los soportes dentro de la empresa |
Por personal autorizado por el responsable del tratamiento con medidas de seguridad. |
Bajo |
|
Transporte de los soportes fuera de la empresa |
Por personal autorizado por el responsable del tratamiento con medidas de seguridad. |
Bajo |
|
Procedimientos con datos automatizados (digital) |
Medidas |
Riesgo |
|
Acceso durante el tratamiento digital (pantallas) |
Se tratan impidiendo la visión de los datos a personas no autorizadas. |
Bajo |
|
Almacenamiento de los soportes digitales |
Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. |
Bajo |
|
Destrucción de soportes digitales |
NO EXISTEN soportes digitales que contengan datos personales. |
Muy bajo |
|
Procedimientos con datos no automatizados (documentos) |
Medidas |
Riesgo |
|
Acceso durante el tratamiento manual (documentos) |
Se tratan impidiendo el acceso a los datos a personas no autorizadas. |
Bajo |
|
Almacenamiento de documentos |
Se guardan en un Mobiliario y/o Departamento con medidas de seguridad. |
Bajo |
|
Destrucción de documentos |
Destructora de papel. |
Bajo |
|
Otras medidas de seguridad |
Medidas |
Riesgo |
|
¿Se lleva un registro de accesos a categorías especiales de datos? |
NO SE TRATAN categorías especiales de datos. |
Muy bajo |
|
Medidas alternativas |
|
Solo acceden las personas vinculadas a este tipo de información |
Sistemas de información
|
Acceso a equipos informáticos |
Medidas |
Riesgo |
|
Control de acceso a equipos informáticos |
Usuario y contraseña personalizados. |
Bajo |
|
Control de acceso a ficheros con datos personales |
Acceso a los ficheros y/o programa mediante contraseña. |
Bajo |
|
Otros tipos de acceso a equipos informáticos |
Ninguno |
Muy bajo |
|
Acceso a redes informáticas |
Medidas |
Riesgo |
|
Acceso directo a los sistemas de información (conexión de red) |
Usuario y contraseña personalizados. |
Bajo |
|
Acceso inalámbrico a los sistemas de información (Wifi, Bluetooth, etc.) |
Acceso restringido por clave de seguridad. |
Bajo |
|
Acceso remoto a los sistemas de información |
Usuario y contraseña personalizados. |
Bajo |
|
Cifrado de las conexiones remotas |
Sí. |
Bajo |
|
Sistema de identificación y autenticación |
Medidas |
Riesgo |
|
Sistema de identificación (USUARIO) |
Nombre y apellidos y en algún caso código |
Muy bajo |
|
Sistema de autenticación (CONTRASEÑA) |
Contraseña personalizada para cada usuario. |
Bajo |
|
Cifrado de la contraseña |
La contraseña está cifrada |
Bajo |
|
Combinación de caracteres |
La contraseña se compone al menos de 8 caracteres, con algún número, mayúscula, minúscula y símbolo o carácter especial |
Bajo |
|
Intentos reiterados de acceso |
Se ha implementado un sistema que impide los intentos reiterados no autorizados |
Bajo |
|
Caducidad de la contraseña |
La contraseña se cambia al menos una vez al año |
Bajo |
|
Medidas alternativas |
Integridad de la información
|
Copias de respaldo |
Medidas |
Riesgo |
|
Ubicación de las copias |
Se guardan en un Hardware distinto del que las crea (copia de red). |
Bajo |
|
Periodicidad de programación |
Diaria |
Muy bajo |
|
Periodicidad de comprobación de datos |
Como máximo, 6 meses desde la creación. |
Bajo |
|
Método de comprobación de datos |
Aplicación informática de verificación de copias. |
Bajo |
|
Copias de respaldo externas |
Medidas |
Riesgo |
|
Ubicación de las copias externas |
Empresa o delegación externa. |
Bajo |
|
Periodicidad de programación de las copias externas |
Semanalmente, como mínimo. |
Bajo |
|
Cifrado de los datos de las copias externas |
Sí. |
Bajo |
|
Disponibilidad de los datos |
Medidas |
Riesgo |
|
Disponibilidad de los servicios de información |
EXISTEN medidas para garantizar la disponibilidad de los datos |
Bajo |
|
Restauración de los servicios de información |
EXISTEN medidas para restaurar rápidamente la disponibilidad y el acceso a los datos |
Bajo |
|
Resiliencia de los servicios de información |
EXISTEN medidas para anticiparse y adaptarse a cambios imprevistos en los servicios de información |
Bajo |
|
Procesos de verificación, evaluación y valoración de las medidas de seguridad |
SE HAN ESTABLECIDO procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad |
Bajo |
Tratamientos específicos
|
Tratamientos específicos |
Medidas |
Riesgo |
|
Tratamiento de datos de niños menores de 14 años |
NO SE REALIZAN tratamientos de datos de niños menores de 14 años |
Muy bajo |
|
Tratamiento de datos de personas en situación de vulnerabilidad |
NO SE REALIZAN tratamientos de datos de personas en situación de vulnerabilidad |
Muy bajo |
|
Tratamiento de datos que puede invadir la intimidad de las personas |
NO SE REALIZAN tratamientos que pueden invadir la intimidad de las personas |
Muy bajo |
|
Vulneración de los derechos y libertades fundamentales |
NO SE REALIZAN tratamientos que vulneren los derechos o libertades fundamentales |
Muy bajo |
Internet
|
Comunicaciones electrónicas |
Medidas |
Riesgo |
|
Correo electrónico |
SE UTILIZA correo electrónico seguro mediante cifrado punto a punto. |
Muy bajo |
|
Cláusula de protección de datos |
SE HA PUBLICADO una cláusula de protección de datos con información adecuada del tratamiento. |
Muy bajo |
|
Página web |
Medidas |
Riesgo |
|
Certificado de seguridad web (https) |
SE HA INSTALADO un certificado de seguridad (SSL/TLS). |
Muy bajo |
|
Avisos legales |
SE HA PUBLICADO un aviso legal con la información adecuada y accesible desde cualquier lugar del sitio web. |
Muy bajo |
|
Política de privacidad |
SE HA PUBLICADO una Política de privacidad con la información adecuada y accesible desde cualquier lugar del sitio web. |
Muy bajo |
|
Formularios para la obtención de datos |
SE INFORMA adecuadamente del tratamiento de datos personales previo al envío del formulario. |
Muy bajo |
|
Política de cookies |
SE INFORMA adecuadamente del tratamiento de datos y de las cookies utilizadas. |
Bajo |
|
Banner para obtener el consentimiento de cookies |
SE OBTIENE el consentimiento y SE INFORMA adecuadamente del tratamiento de datos personales previo a la instalación de cookies. |
Muy bajo |
Organización
|
Organización |
Medidas |
Riesgo |
|
Política de información |
EXISTE un protocolo documentado para informar y comunicar el tratamiento al interesado |
Bajo |
|
Derechos del interesado |
EXISTE un protocolo documentado para gestionar y registrar los derechos del interesado |
Bajo |
|
Política de seguridad |
EXISTE un protocolo documentado para garantizar la seguridad de los datos personales y su protección desde el DISEÑO Y POR DEFECTO |
Bajo |
|
Formación en protección de datos |
[Se facilita suficiente formación al personal autorizado para tratar datos] mediante cursos específicos de protección de datos |
Bajo |
|
Violaciones de la seguridad |
EXISTE un protocolo documentado para gestionar y registrar las violaciones de la seguridad |
Bajo |
|
Evaluación de impacto (DPIA) |
[No precisa realizar una DPIA porque] el tratamiento no comporta un alto riesgo para los derechos y libertades de las personas físicas. |
Bajo |
|
Delegado de protección de datos (DPO) |
[Se ha designado un DPO] porque la empresa es una autoridad u organismo PÚBLICO |
Bajo |