albert müller i valentí, llicenciat en dret i secretari...

Secretaria General

Albert Müller i Valentí, llicenciat en dret i secretari general accidental, per delegació segons resolució de 24 de setembre de 2012, C E R T I F I C O: Que la Junta de Govern Local, en sessió de data 14 de setembre de 2012, es va aprovar, per unanimitat dels membres presents, l’acta de la sessió ordinària de Junta de Govern Local de data 7 de setembre de 2012, acta que es transcriu literalment continuació: “NÚM.: 28 ÒRGAN: Junta de Govern Local SESSIÓ: ORDINÀRIA DATA: 7 de setembre de 2012 HORA: 12:45 DOCUMENT: ACTA

A la sala de la Junta de Govern Local (4a planta de l'edifici del Viver) en: 1ª convocatòria. ASSISTENTS:

ALCALDE Xavier Garcia Albiol REGIDORS Ramón Riera Macia Miguel Jurado Tejada Juan Fernández Benítez SECRETARI GENERAL Juan Ignacio Soto Valle INTERVENTOR MUNICIPAL Julián Álamo Guijarro TRESORERA Lluïsa Osa Farré ABSENTS

Mª. Jesús Hervàs Mínguez Regidora ORDRE DEL DIA

1 Lectura i aprovació, si s'escau, de l'esborrany de l'acta de la sessió anterior. ÀMBIT DE GOVERN, ECONOMIA I HISENDA

2 CG-2012/4009 Informe relatiu a l'estat dels treballs d'auditoria en matèria de seguretat i protecció de dades.

3 CG-2012/4010 Informe relatiu a la justificació dels treballs dels programes corresponents al Plan Avanza.

4 PROPOSICIONS URGENTS

CG-2012/4011 Aprovació reconeixement de crèdit de 1448,21 € a favor de l'empresa Compañia Integral de Seguretat, per regulació diferencia d'IPC no aplicat a l'any 2011.

CG-2012/4012 Aprovació reconeixement de crèdit per import de 554,64 a l'empresa Compañia Integral de Seguretat, per regularització diferència IPC no aplicat a la Facturació de l'any 2011

5 Precs i preguntes. DESENVOLUPAMENT DE LA SESSIÓ

1 Lectura i aprovació, si s'escau, de l'esborrany de l'acta de la sessió anterior que va tenir lloc el dia 27 de juliol de 2012. ÀMBIT DE GOVERN, ECONOMIA I HISENDA

2 CG-2012/4009 Informe relatiu a l'estat dels treballs d'auditoria en matèria de seguretat i protecció de dades. INFORME PRELIMINAR SOBRE L’EXECUCIÓ DE L’AUDITORIA REALITZADA EN COMPLIMENT DE LA LO 15/1999 DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL Període 2005-2012 1. ANTEDECENTS

Secretaria General

L’any 2000 es van portar a terme les treballs de diagnòstic i avaluació dels procediments i sistemes de tractament de dades amb la finalitat de procedir a la seva adequació a la legislació vigent en matèria de protecció de dades de caràcter personal. L’any 2001, mitjançant resolució de l’alcaldia de 28/06/01, es va aprovar el Document de seguretat, que defineix les mesures, tant organitzatives com tècniques, que ha de complir tot el personal de l’organització per observar el compliment de la legislació vigent en matèria de protecció de dades. L’any 2004, en compliment de l’establert per l’art. 17 del RD 994/1999, d’11 de juny, pel que s’aprovava el Reglament de mesures de seguretat dels fitxers automatitzats que contenen dades de caràcter personal, es va portar a terme la preceptiva auditoria, elevant-se al responsable del fitxer i a la Comissió de Seguretat, la qual va aprovar el pla d’actuació en la seva sessió del 22/07/2005. Mitjançant resolució d’alcaldia del 02/02/2012 es va sol·licitar a la Diputació de Barcelona assistència tècnica per a la realització de les auditories preceptives en matèria de seguretat d’acord amb la Llei Orgànica 15/1999, de protecció de dades de caràcter personal, així com pel Reial Decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica. La Diputació de Barcelona, mitjançant resolució del Diputat delegat per a la Cooperació Local, de data 30/03/2012, va autoritzar l’assignació de recursos humans i materials per satisfer la demanda d’assistència tècnica formulada per aquest Ajuntament. 2. JUSTIFICACIÓ I MOTIVACIÓ DE L’AUDITORIA Els articles 96 i 110 del Reial Decret 1720/2007, mitjançant el qual s’aprova el Reglament de desenvolupament de la LOPD, en relació als fitxers automatitzats i no automatitzats respectivament, estableix que els sistemes d’informació i instal·lacions de tractament i emmagatzematge de dades han de sotmetre’s, com a mínim cada dos anys, a una auditoria que verifiqui el compliment de la legislació en matèria de protecció de dades. És per això que, en compliment d’aquests preceptes legals i atès que ha transcorregut àmpliament el termini preceptiu de dos anys, des de la realització de la última auditoria realitzada l’any 2004, la Comissió de Seguretat i protecció de dades, en la seva sessió de data 01/02/2012, va aprovar l’execució de l’auditoria preceptiva, sol·licitant-se posteriorment l’assistència tècnica de la Diputació de Barcelona per a la seva execució. Així les coses, durant els mesos de maig i juny d’enguany s’ha portat a terme la preceptiva auditoria que ha comptat amb l’assistència tècnica dels Serveis d’Assistència al Govern Local de la Diputació de Barcelona i ha estat executada per l’empresa Global Legal Data SL. Els informes resultants de l’auditoria realitzada dictaminen sobre l’adequació de les mesures i controls a la LO 15/1999, de protecció de dades de caràcter personal, i al seu desenvolupament reglamentari, identifiquen les deficiències i proposen les mesures correctores o complementàries necessàries, incorporant al mateix temps les dades, fets i observacions en què es basen els dictàmens i recomanacions. Tanmateix, en compliment de l’art. 96.3 del RD 1720/2007 la sotasignada, en qualitat de Responsable de Seguretat, emet el present informe preliminar. Àmbit de l’auditoria: Totes les àrees, serveis i departaments municipals Abast: Els fitxers, sistemes d’informació, de tractament i d’emmagatzematge de dades, així com les actuacions, protocols, procediments executats des de l’any 2005 en que es va realitzar la darrera auditoria fins al 2012..

1. Aspectes auditats: Principis

• Qualitat de les dades, art. 4 LOPD i art. 8 RLOPD • Dret d’informació en la recollida de dades, ART. 5 LOPD i art. 18 i 19 RLOPD • Consentiment de la persona afectada, art. 6 LOPD i art. 12-16 RLOPD • Dades especialment protegides, art. 7 LOPD i art. 12 RLOPD • Seguretat de dades, art. 9 LOPD i art. 88 RLOPD • Deure del secret, art. 10 LOPD • Comunicació de dades, art. 11 LOPD i art. 10-12 RLOPD • Accés a les dades per compte de tercers, ART. 12 LOPD i art. 20-22 i 83 RLOPD

Infraccions derivades de les no conformitats

Secretaria General

2. Aspectes auditats: Drets

• Dret de rectificació i cancel·lació, art. 16 LOPD i art. 23-37 RLOPD • Procediment d’oposició, accés, rectificació o cancel·lació, art. 17 LOPD i art. 23-36 RLOPD


3. Aspectes auditats: Aspectes formals

• Notificació i inscripció en el registre de fitxers, art. 20 LOPD i art. 55-62 RLOPD • Comunicació de la cessió de les dades, art. 27 LOPD • Transferència internacional de dades, art. 33 i art. 137-144 RLOPD


Secretaria General

4. Aspectes auditats: Mesures de seguretat. Fitxers automatitzats. Mesures genèriques

‐ Accés a dades a través de xarxes de comunicacions ‐ Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament ‐ Fitxers temporals o còpies de treball de documents ‐ Document de seguretat


5. Aspectes auditats: Mesures de seguretat. Fitxers automatitzats. Nivell bàsic

‐ Funcions i obligacions del personal, Registre d’incidències, Control accessos, Gestió de suports i documents, Identificació i autenticació i Còpies de seguretat


Secretaria General

6. Aspectes auditats. Mesures de seguretat. Fitxers automatitzats. Nivell mitjà

‐ Responsable de seguretat, Auditoria, Gestió de suports i documents, Identificació i autenticació, Control accés físic, Registre d’incidències. Procediments


7. Aspectes auditats. Mesures de seguretat. Fitxers automatitzats. Nivell alt

‐ Gestió i distribució de suports, Còpies de seguretat, Registre d’accessos, Telecomunicacions


Secretaria General

8. Aspectes auditats. Mesures de seguretat. Fitxers no automatitzats. Nivell bàsic.

‐ Criteris d'arxiu, Dispositius d'emmagatzematge, Custòdia de suports


9. Aspectes auditats. Mesures de seguretat. Fitxers no automatitzats. Nivell mitjà

‐ Responsable de seguretat ‐ Auditoria


Secretaria General

10. Aspectes auditats. Mesures de seguretat. Fitxers no automatitzats. Nivell alt

‐ Gestió i distribució de suport ‐ Còpies de seguretat ‐ Registre d’accessos ‐ Telecomunicacions


11. Conclusions

Analitzats els informes d’auditoria emesos per l’equip d’auditors externs i tal com es desprèn del present informe els fitxers, els sistemes d’informació i instal·lacions de tractament i emmagatzematge NO S’ADEQÜEN a la legislació vigent en matèria de protecció de dades de caràcter personal.

Secretaria General

Tipificació de les infraccions. Quadre resum per àrees

12. Pla d’actuació

Amb l’objecte de donar una solució ordenada i coherent a les no conformitat detectades durant el procés d’auditoria i, conseqüentment, adequar els fitxers, el sistemes d’informació i instal·lacions de tractament i emmagatzematge a la legislació vigent en matèria de protecció de dades es proposa l’execució del pla d’actuació que es descriu a continuació, el qual s’haurà d’executar en el termini de dos anys a partir de la seva aprovació. Actuació

1.1 Mantenir actualitzada la base de dades de contactes de Medi Ambient. Quan un correu electrònic és retornat, s’ha de donar de baixar de la base de dades aquella adreça electrònica, per tal de garantir que les dades de que es disposa estan actualitzades

1.2 Procedir a la cancel·lació de les dades del programa GESPOL, ja siguin mitjançant la seva destrucció o mitjançant el seu bloqueig per un període determinat, previ a la seva destrucció definitiva.

1.3 Definir funcions, responsabilitats i els protocols d’actuació necessaris per garantir l’exactitud i veracitat de les dades de contactes d’activitats i agents culturals.

1.4 Dotar als Serveis Socials municipals d’un programa de gestió que permeti la gestió coordinada i única de les dades identificatives dels usuaris i/o beneficiaris dels Serveis Socials.

Qualitat de les dades

1.5 Establir les mesures organitzatives i tècniques necessàries per garantir el dret d’accés dels ciutadans i, amb aquest objecte, requerir què es facin constar en l’índex d’expedients les dades identificatives dels interessats de cada expedient (Nom i cognoms i document d’identitat)

2.1 Incloure en tots els qüestionaris, impresos i formularis la clàusula informativa, comunicant el tractament de les dades, l’existència d’un fitxer, la finalitat de la recollida de les dades i els destinataris de la informació, de la possibilitat de exercir els drets d’accés, rectificació, cancel·lació, i de la identitat i adreça de l’Ajuntament de Badalona, així com la resta d’informació preceptiva segons el cas.

2.2 Substituir l’actual text de la nota informativa per la clàusula informativa adequada a cada formulari electrònic

2.3 Establir un protocol de seguiment i control per a la creació de nous formularis o documentació (validació – autorització)

2.4 Incloure en el sistema de gravació de les trucades de la Guàrdia Urbana una gravació que informi breument sobre la gravació de la trucada i la resta del contingut preceptiu.

2.5 Incloure en els cartells informatius sobre la gravació d’imatges la finalitat de la gravació i la informació relativa a l’exercici dels drets ARCO.

2.6 Definir el protocol a seguir per a la recollida de dades presencial i telefònicament

Dret d’informació en la recollida de dades

2.7 Eliminació dels formularis de sol·licitud del servei d’audio-guia una vegada ha finalitzar la prestació del servei i tractades les dades amb finalitats estadístiques.

Dades 3.1 Incloure en els requeriments i comunicacions del procediment de Responsabilitat patrimonial, amb el màxim detall

Secretaria General

Actuació

possible, les corresponents clàusules per a la recollida de dades especialment protegides i informar de la finalitat, fitxer, comunicacions a tercers i possibilitat d’exercici de drets.

3.2 Incloure en els impresos i formularis de la Guàrdia Urbana les corresponents clàusules per a la recollida de dades especialment protegides i informar de la finalitat, fitxer, comunicacions a tercers i possibilitat d’exercici de drets, d’acord amb el nivell 3: avís complet (Grup de Treball Article 29.)

3.3 Tot i que la legislació vigent sobre Serveis Socials incorpora en diferents supòsits l’excepció de l’obtenció del consentiment, ja que el tractament és necessari per a què el responsable del fitxer compleixi amb el seus deures, incloure amb el màxim detall possible les corresponents clàusules informatives per a la recollida de dades de salut i informar sobre la finalitat del fitxer, comunicacions a tercers i possibilitat d’exercici de drets, d’acord amb el nivell 3: avís complet (Grup de Treball Article 29.)

3.4 Incloure en els impresos i formularis d’Educació que recullen dades de salut les corresponents clàusules per a la recollida de dades especialment protegides i informar de la finalitat, fitxer, comunicacions a tercers i possibilitat d’exercici de drets, d’acord amb el nivell 3: avís complet (Grup de Treball Article 29.)

especialment protegides

3.5 Incloure en els impresos i formularis d’Esports que recullen dades de salut les corresponents clàusules per a la recollida de dades especialment protegides i informar de la finalitat, fitxer, comunicacions a tercers i possibilitat d’exercici de drets, d’acord amb el nivell 3: avís complet (Grup de Treball Article 29.)

Mesures de seguretat

4 Elaborar un Pla d’Acció per tal de resoldre les deficiències detectades en l’àmbit dels sistemes d’informació

5.1 Dotar l’oficina d’atenció al ciutadà i als serveis d’atenció al ciutadà de la Regidora de Serveis Socials i Salut d’espais amb mesures necessàries per garantir la confidencialitat i secret de les dades comunicades pels ciutadans durant les atencions presencials

5.2 Incorporar programes de sensibilització i cursos en matèria de protecció de dades en el programa de formació continuada

5.3 Incloure la clàusula de confidencialitat i deure de secret en els plecs de clàusules administratives i/o en els annexos als contractes que comporten o poden comportar l’accés a dades de caràcter personals i/o als sistemes d’informació municipals

5.4 Establir un control de la utilització de documents amb informació confidencial, establir criteris i comunicats sobre l’eliminació de documentació o sobre la impressió de documentació, i implantar una política de taules netes.

Deure de secret

5.5 Establir les condicions en què s’ha de realitzar el trasllat intern de la documentació i definir la cadena de custòdia i les responsabilitats.

6.1 Definir el procediment a seguir per a l’autorització de la cessió puntual de dades i mantenir un registre de les cessions de dades realitzades.

6.2 Incloure en les disposicions de creació dels fitxers les cessions de dades habilitades legalment.

6.3 Inventariar els contractes i convenis de col·laboració que comporten la cessió de dades a tercer

Comunicació de dades

6.4 Incloure en els formularis i impresos que contenen dades que es preveu cedir a tercers, la clàusula de consentiment amb la cessió de dades.

7.1 Incloure en el plec de clàusules administratives generals una clàusula genèrica però amb contingut suficient referida al tractament de dades de caràcter personal per tercers o als prestadors de serveis sense accés a dades

7.2 Modificar el model de clàusula tipus que s’inclou en els plecs de clàusules administratives particulars i adaptar el seu contingut a les especificitats de cada contracte o bé, formalitzar, en document annex al contracte els requeriments i obligacions de l’encarregat del tractament

7.3 Revisar i, si s’escau, formalitzar nous contractes d’encarregat de tractament diversos contractes administratius vigents, com ara els relatius a serveis informàtics i de manteniment, fotografia o distribució de correspondència.

7.4 Revisar tos els contractes i/o convenis de la Regidoria de Serveis Socials i Salut que comportin el tractament de dades de caràcter personal i, si s’escau, formalitzar els contractes d’encarregat de tractament.

7.5 Inventariar tots els contractes existents amb prestadors de serveis, que puguin tenir accés als sistemes d'informació o a dades de caràcter personal

Accés a dades per compte de tercers

7.6 Adoptar les mesures adients, a la finalització dels contractes que comporten l’accés i/o tractament de dades de caràcter personal, per verificar la destrucció o retorn dels suports o documentació que conté les dades de caràcter personal lliurada a l’encarregat del tractament

8.1 Publicar el procediment d’exercici del dret d’accés a la intranet corporativa i donar-ne difusió amb caràcter general

8.2 Formar al personal del departament d’Atenció Ciutadana sobre els drets de la ciutadania en matèria de protecció de dades en general i, en particular, en el procediment d’exercici dels drets ARCO vigent

Dret d’accés

8.3 Dissenyar i implementar un mecanisme de recerca de les dades de la persona interessada en els sistemes d’informació associats a un o més dels fitxers responsabilitat de l’Ajuntament de Badalona

Secretaria General

Actuació

8.4 Habilitar sistemes de gestió i d’organització de la informació i dels arxius que permetin aquesta recerca, amb garanties suficients per a l’exercici dels drets de la persona interessada. (índex d’expedients)

9.1 Publicar el procediment d’exercici dels drets de rectificació i cancel·lació a la intranet corporativa i donar-ne difusió amb caràcter general.

9.2 Formar al personal del departament d’Atenció Ciutadana sobre els drets de la ciutadania en matèria de protecció de dades en general i, en particular, en el procediment d’exercici dels drets ARCO vigent.

9.3 Establir els mecanismes tècnics de bloqueig de les dades a aplicar en aquells casos en que el titular de les dades demani la seva cancel·lació.

Dret de rectificació i cancel·lació

9.4 Definir el protocol a seguir per a la comunicació, segons el cas, als prestadors de serveis o destinataris de la cessió de dades, de l’exercici dels drets de rectificació o cancel·lació de dades, amb la finalitat que aquests procedeixin, igualment, a la seva rectificació, bloqueig o cancel·lació.

10.1 Elaborar un nou mapa i inventari de fitxers i procedir a la creació, modificació o supressió de fitxers i a la seva posterior inscripció en el registre de fitxers de l’APDCAT

10.2. Donar a conèixer els procediments de creació, esborrat i utilització de fitxers amb dades de caràcter personal i temporals als usuaris dels sistemes d’informació.

Notificació i inscripció de fitxers

10.3 Establir controls periòdics per el control i seguiment de l’ús i tractament de les dades de caràcter personal que permetin la identificació de nous tractaments i l'inventari de nous fitxers.

Comunicació cessió de dades

11.1 Incorporar en el protocol de cessió de dades a crear l’obligació de comunicar a l’afectat la cessió de les seves dades i establir els mecanismes de control i supervisió necessaris per verificar el compliment de l’art. 27 LOPD i garantir la comunicació de la cessió de dades a l’afectat.

Transferència internacional de dades

12.1 Dissenyar i implementar un protocol i procediment, que contempli els aspectes legals de la comunicació internacional de dades (països, finalitats, etc.) i els formals de la mateixa (informació, llegendes, consentiment, etc.).

13.1 Realitzar accions de millor dels accessos a través de les xarxes de comunicacions: - Aplicar nous protocols i sistemes de validació i autenticació i xifrat de més qualitat (exemple WAP xifrat AES). - Xifrar aquella informació que surt fora de l’àmbit de l’Ajuntament de Badalona (exemple: correus electrònics).

Accés a dades a través de les xarxes de comunicacions

13.2 Establir mecanismes de control del accessos a través de les xarxes de comunicacions: - Realitzar tests d’intrusisme. - Revisar i validar, periòdicament, els logs de l’electrònica de comunicacions i seguretat per tal de detectar o

prevenir atacs.

14.1 Identificar els suports i realitzar un inventari de fitxers i tractaments amb dades de caràcter personal no corporatius (ofimàtica d’usuari), suports que es poden generar i possibles generadors de suports amb dades de caràcter personal

14.2 Crear el protocol d’autorització i gestió de suports amb dades de caràcter personal i difondre entre els personal de l’entitat el procediment i donar a conèixer les conseqüències derivades de l’incompliment d’aquest principi, tant per l’usuari com per a l’entitat.

14.3 Desactivar els dispositius capaços de generar suports amb DCP (USB, gravadors de CD/DVD, Bluetooth, WiFi als dispositius mòbils, etc.).

Treball fora locals

14.4 Examinar periòdicament la informació emmagatzemada en els històrics d’activitats per determinar accions incorrectes o il·legals.

15.1 Difondre el procediment de gestió de fitxers temporals i formar al personal sobre la creació, utilització i responsabilitat de la gestió sobre les dades de caràcter personal emmagatzemats en els fitxers temporals.

Fitxers temporals

15.2 Inventariar els fitxers dipositats en las unitats personals i departamentals, amb la finalitat d’identificar fitxers amb dades de caràcter personal i realitzar seguiments sobre la creació i utilització dels fitxers temporals.

Document de seguretat

16.1 Redactar i aprovar un nou Document de seguretat

17.1 Actualitzar el document de funcions i responsabilitats d’acord amb el Reglament de Desenvolupament de la Llei de Protecció de Dades (RDLOPD) vigent, ampliar el seu contingut sobre les mesures de seguretat que s’han d’aplicar a fitxers no automatitzats i definir les funcions i obligacions del personal per perfils i responsabilitats.

17.2 Establir un pla continuat de formació del personal segons el seu perfil, certificar la formació dels usuaris en matèria de protecció de dades i habilitar un registre de les persones que han rebut formació en aquesta matèria, així com sobre les seves obligacions i responsabilitats.

Funcions i responsabilitats

17.3 Comunicar a tot el personal que s’incorpora a l’Ajuntament, independentment de la seva alta en el sistema informàtic, les seves funcions i obligacions. Aquesta comunicació es recomana que la practiqui el departament de Recursos Humans, quedant constància de la mateixa en l’expedient personal del treballador.

Registre 18.1 Definir un nou procediment de comunicació i gestió d’incidències que inclogui tant les incidències que afectin el

Secretaria General

Actuació

tractament de dades automatitzat com el manual. d’incidències

18.2 Adequar el Registre d’incidència al requeriment de l’Autoritat Catalana de Protecció de dades

19.1 Establir un procediment clar, segur i eficient per a la gestió d’usuaris (altes, baixes, esborrat, manteniment, copies, traspàs d’informació, etc.).

19.2 Inventariar les aplicacions que tenen registres d’accessos i estudiar la seva estructura

19.3 Inventariar els perfils d’usuaris els Perfils digitals amb organització i funcionalitats, els Identificadors d’usuaris amb usuaris reals i els comptes de mail amb receptors.

19.4 Implantar les cues d’impressió amb autenticació (PIN d’usuari) per aquelles impressores ubicades en zones de pas. En les impressores compartides amb petits grups de treball intercalar caràtules que garanteixin la confidencialitat de les dades de caràcter personal

Control d’accessos

19.5 Implantar els mecanismes de registre d’accessos en els fitxers de nivell alt d’acord amb el que estableix el RLOPD

20.1 Definir un nou procediment de gestió de suports i documents que contenen dades de caràcter personals eficaços per la distribució i utilització de suports, autoritzacions de sortides / entrades de suports i gestió de l’inventari (incorporació, destrucció, etiquetat, etc.)

20.2 Inventariar tots els suports i hardware generador existent i inhabilitar els dispositius i suports no autoritzats

20.3 Definir el procediment de trasllat de documents entre dependències municipals i adoptar les mesures necessàries per evitar la seva sostracció, pèrdua o accés indegut a la informació durant el transport. (ordenances)

20.4 Crear els registres d’entrada i de sortida de suports i documents

Gestió de suports i documents

20.5 Establir un protocol per garantir correctament la gestió dels suports que contenen dades als que són d’aplicació mesures de nivell alt, que detalli un sistema d’etiquetatge adequat i el xifrat del seu contingut.

21.1 Valorar la incorporació de les recomanacions relatives a les politiques d’identificació i autenticació d’usuaris Identificació i autenticació 22.2 Deshabilitar el desbloqueig automàtic dels comptes d’usuaris després del seu bloqueig per intents d’accés fallits

22.1 Planificar la realització de comprovacions de la correcta realització de les còpies de seguretat i de la seva restauració.

22.2 Gestionar correctament el Registre d’Incidències, davant recuperacions de dades i informació que no s’han pogut completar (recuperació manual). Actualment sols s’indica si el procediment ha estat correcte o no.

22.3 Descriure el procediment de verificació per a la recuperació de les dades que garanteixi la seva reconstrucció a l’estat en que es trobaven en el moment de produir-se la pèrdua o destrucció.

22.4 Segmentar les copies de seguretat de la base de dades i dels fitxers ofimàtics segons el seu nivell de seguretat.

22.5 Habilitar un lloc fora de l’edifici on es troben actualment els sistemes d’informació o en el mateix edifici, però en una ubicació que garanteixi la seguretat física dels suports amb copies (accés físic, antiincendis, robatori, etc.).

22.6 Conservar una còpia de seguretat dels fitxers de nivell alt i dels procediments de recuperació de dades en una ubicació diferent a la dependència on es troben els equips informàtics que les tracten i realitzar les comprovacions pertinents.

22.7 Realitzar el xifrat de les còpies de seguretat que contenen dades especialment protegides (fitxers de nivell alt)

22.8 Crear el procediment de control i gestió de les copies de seguretat amb dades de nivell alt

Còpies Seguretat

22.9 Segmentar la base de dades segons nivell de seguretat (bàsic, mitjà i alt) i xifrar les taules de nivell alt. Executar aquesta acció d’acord amb el projecte d’accessos als fitxers amb DCP actualment en execució.

Responsable Seguretat

23.4 Especificar i incloure en el Document de Seguretat la distribució de funcions i responsabilitats i les designacions o nomenaments personals i mantenir-ho actualitzat

Auditoria 24.1 Realitzar un seguiment de les accions descrites en l’informe d’auditoria amb la finalitat de controlar el grau d’aplicació de les mateixes

25.1 Aplicar i revisar els protocols actuals i definir nous protocol d’accés al CPD d’acord amb les indicacions i recomanacions de l’auditoria

25.2 Mantenir en correcte funcionament els sistemes d’accés, biomètric o físics i garantir el seu correcte funcionament.

Control d’accés físic

25.3 Documentar els protocols actuals d’identificació i control de personal de visites i en trànsit, dins l’edifici, des del punt principal d’accés de l’edifici, avaluar-lo i adequar-lo a les recomanacions de l’auditoria.

26.1 Configurar per a determinats usuaris (qui gestiona dades de nivell alt) el xifrat de dades (correu, fitxers adjunts, etc.) per defecte en tots els enviaments.

26.2 Valorar la viabilitat d’utilitzar segments de xarxa diferents per a tots aquells tractaments de DCP de nivell alt, assegurats l’accés mitjançant la utilització de les MAC Address, per tal d’eliminar la suplantació o els sniffers.

Telecomunicacions

26.3 Utilitzar sempre CCO en els correus electrònics externs per poder garantir la confidencialitat i integritat de la informació tramesa a grups de destinataris.

Secretaria General

Actuació

27.1 Verificar la capacitat real de donar compliment a l’exercici de drets ARCO pel que fa al tractament dels fitxers no automatitzats.

Criteris d’arxiu

27.2 Incorporar en el Document de seguretat els criteris d’arxiu i els procediments bàsics i comuns que s’han aplicar en la gestió d’arxius

28.1 Establir un control d’accés als dispositius d’emmagatzematge del paper on es guarda la informació, aquests han d’estar tancats amb clau i la documentació ha d’estar custodiada per les persones responsables

Dispositius emmagatzematge

28.2 Limitar l’accés a terceres persones als espais on s’ubiquen els armaris amb documents que inclouen dades especialment protegides

29.1 Implantar un sistema de claus d’accés per a la impressió de documents que contenen dades de caràcter personal als que s’hagin d’aplicar mesures de seguretat de nivell alt.

Còpia o reproducció

29.2 Dotar de “destructores” de paper als serveis que gestionen fitxers amb dades de nivell alt per garantir una correcta destrucció de les còpies que faci impossible la seva posterior recuperació

Accés a la documentació

30.1 Implantar un registre que permetin identificar els accessos realitzats als fitxers de nivell alt en el cas de documents que puguin ser utilitzats per múltiples usuaris.

Trasllat de documentació

31.1 Definir el procediment a aplicar i incorporar-lo en el Document de seguretat i implantar un sistema de trasllat físic de documentació que permeti complir amb les mesures requerides per impedir l’accés o manipulació de la informació objecte del trasllat .

13. Propostes

Per tot l’exposat anteriorment, en compliment de l’art. 96.3 del RD 1720/2007 la sotasignada, en qualitat de Responsable de Seguretat, emet el present informe preliminar que, juntament amb les conclusions i l’informe d’auditoria emès pels auditors externs s’haurà d’elevar a la Comissió de Seguretat i al responsable del fitxer, proposant: 1.- Donar compte de l’informe d’auditoria i aprovar el pla d’actuació proposat. 2.- Encarregar al Servei Informàtic i Tecnologies de la Informació l’execució de les mesures d’índole

tècnica contingudes en el pla d’actuació i, amb aquest objecte, l’elaboració d’un pla de treball amb una durada màxima de dos anys.

3.- Encarregar al Responsable de Seguretat l’impuls i coordinació de l’execució del pla d’actuació, així com el seu seguiment.

4.- Informar, periòdicament, a la Comissió de Seguretat de l’estat d’execució del pla d’actuació. ACORD La Junta de Govern n’acorda l’assabentat. 3 CG-2012/4010 Informe realtiu a la justficació dels treballs dels programes corresponents al Plan Avanza. INFORME Tipus de document Informe Òrgan que proposa El tècnic responsable del projecte AVANZA del Servei d’Informàtica i TIC

Objecte del informe Informar respecte la finalització dels projectes realitzats mitjançant la subvenció atorgada pel Ministeri d’ Indústria, Turisme i Comerç en el marc del PLAN AVANZA

FETS 1- El Butlletí Oficial de l’Estat de data 18 de febrer de 2009 i número 42 va publicar la resolució de 16 de febrer de 2009, de la Secretaria d’Estat de Telecomunicacions i per a la societat de la Informació per la que s’efectua la convocatòria 1/2009 per a la concessió d’ajudes per a la realització de projectes i accions de l’Acció Estratègica de Telecomunicacions i Societat de la Informació. 2- En data 31 de març de 2009, l’alcalde de la corporació, el Sr. Jordi Serra Isern, va aprovar mitjançant resolució sol·licitar al Ministeri d’Indústria, Turisme i Comerç, una subvenció per a l’execució del projecte de “Difusión de la utilización del DNI-e o el ID-cat entre la ciudadanía”. 3- En data 17 de juliol de 2009 la Direcció General per al desenvolupament de la Societat de la Informació, formula proposta de resolució provisional en favor de l’Ajuntament de Badalona en relació al Subprograma Avanza Servicios Públicos Digitales per a la realització del projecte “Difusión de la utilitzación DNI-e o ID-cat entre la ciudadanía”. En data 21 de juliol de 2009, es va aprovar l’acceptació de la subvenció atorgada.

Secretaria General

Pressupost Financiable (Euros)

Subvenció Proposada (EUROS)

Percentatge

239.400,00 174.762,00 73,00 4- Conforme al que estableix la resolució de la Secretaria d’Estat de Telecomunicacions, de data 16 de febrer de 2009, esmentada en el fet primer d’aquest informe, de convocatòria de la subvenció objecte d’aquest expedient, el termini per a la presentació del corresponent compte justificatiu es va exhaurir en data 31 de març de 2011, motiu pel qual en data 25 de Novembre de 2011 es va procedir a sol·licitar, una pròrroga del termini d’execució del projecte subvencionat, ampliació que va ser concedida per Ministeri d’Indústria, Turisme i Comerç, mitjançant resolució de 15/12/2011. 5- Amb motiu de la incoació i tramitació dels esmentats expedients, l’alcalde va aprovar la corresponent modificació pressupostària amb càrrec a les partides que s’especifiquen a continuació i pels imports següents:

Partida Descripció Import 010 4911 22602 Publicitat i propaganda 12.484,27 euros 013 4910 22799 Altres treballs realitzats per altres empreses i

professionals 107.884,06 euros

6- Un cop executat els projectes anteriorment esmentats, en data 24 d’Agost de 2012 es procedeix a realitzar la justificació davant el Ministeri d’Indústria, Turisme i Comerç mitjançant procés electrònic tal i com s’especifica a les bases que regulen la subvenció. L’import a justificar per l’anualitat 2011 (justificació fins 2012) per part de l’Ajuntament de Badalona ascendeix a 227.464,12 euros. 7- A dia d’avui, l’Ajuntament està a l’espera de rebre resposta per part del Ministeri d’Indústria, Turisme i Comerç respecte la esmentada anteriorment. CONCLUSIÓ 1- Es valora de forma positiva l’execució final dels projectes realitzats gràcies a la subvenció otorgada, ja que l’Ajuntament de Badalona ha aconseguit assolir els següents objectius generals:

Fomentar entre la ciutadania l’ús del DNI-e i Id-Cat com a instrument de relació amb l’Administració Local.

Reduir la bretxa tecnològica existent en determinades zones de Badalona. S’han fomentat l’eAdministració dins i fora de l’Ajuntament de Badalona,

millorant certs processos de gestió en clau interna de l’administració. 2- A continuació s’enumeren projectes concrets realitzats en el marc del projecte aprovat “Difusión de la utilitzación DNI-e o ID-cat entre la ciudadanía” dins del programa AVANZA:

Creació d’una plataforma de tràmits electrònics per tal de que el Servei d’Informàtica i TIC pugi definir nous tràmits electrònics de forma autònoma sense la necessitat de contractació de serveis externs per futures implementacions. A mode de exemple es detallen alguns tràmits implementats: Volants d’empadronaments, Queixes i Suggeriments, Consultes de rebuts, etc.

Implementació d’una aplicació per facilitar al ciutadà la petició d’informació respecte certes llicències d’urbanisme i activitats, descarregar documentació.

Implantació d’un sistema de Cita Prèvia Web que permet al ciutadà poder demanar un dia i hora concret per ser atès al Servei d’Atenció al Ciutadà o altres departaments de l’Ajuntament.

Adequació de certs sistemes informàtics de l’Ajuntament per tal de que es pugi fer servir diferents tipus de signatura electrònica.

Implementació d’un Call Center municipal al Servei d’Atenció al Ciutadà que permet millorar la atenció telefònica que dóna l’Ajuntament als ciutadans de Badalona, establint un canal específic i directe on el ciutadà pot informar-se respecte temes referents a l’administració electrònica.

S’ha creat una xarxa de Telecentres en certs Centres Cívics que permetran al ciutadans realitzar cursos d’administració electrònica i TIC.

Es millora la funcionalitat del Geoportal Urbanístic (LocalGIS) de la web municipal, aportant informació relativa al planejament urbanístic, expedients urbanístics, medi ambient, etc.

S’ha preparat una campanya de foment de l’ús dels tràmits electrònics nous de la web municipal, juntament a aquesta campanya publicitària s’ha editat una guia per tal que els ciutadans pugin realitzar tràmits electrònics.

3- Amb l’execució dels diferents projectes exposats anteriorment l’Ajuntament de Badalona es posiciona com un dels referents en matèria d’administració electrònica. No obstant, s’ha de continuar realitzant

Secretaria General

projectes en la mateixa línea, donat que la previsió futura es que els serveis electrònics que ofereixen les administracions públiques als ciutadans augmentin de forma exponencial en el temps. ACORD La Junta de Govern n’acorda l’assabentat. 4 PROPOSICIONS URGENTS CG-2012/4011 Aprovació reconeixement de crèdit de 1448,21 € a favor de l'empresa Compañia Integral de Seguretat, per regulació diferencia d'IPC no aplicat a l'any 2011. Identificació de l'expedient Tipus d’acte Aprovació d’expedient de reconeixement de crèdit. Òrgan que resol Junta de Govern Local Expedient 100306-GE-EXT2012/000001 Caràcter Definitiu.Exhaureix la via administrativa Ref. Addicional Procediment d’adjudicació GE-EXT GE-EXT Despeses exercicis Tancats Objecte de l’expedient Factura núm. 6214 de data 30/06/12 per un import de 1.448,21 €, regulació diferència

IPC no aplicat a la facturació 2011, pel servei de vigilància i seguretat prestat al Parc Municipal de Can Solei.

RESOLUCIÓ Fets En relació a l’expedient de reconeixement de crèdit de referència, s’han portat a terme, i consten a l’expedient, les següents actuacions: Informe tècnic de data 11/07/2012. Informe jurídic de data 11/07/2012. Acte de fiscalització de l’expedient realitzat per la Intervenció Municipal de data 19/07/2012. Fonaments jurídics Respecte de la normativa aplicable, ens hem de remetre al Text Refós de la Llei d’Hisendes Locals i al RD 500/1990, de 20 d’abril, que desenvolupa el capítol I del Títol VI de la Llei. Concretament, l’article 26.2 b) del RD 500/1990 (i en els mateixos termes l’article 176 TRLHL) estableix que “S’aplicaran als crèdits del pressupost vigent, en el moment del seu reconeixement, les obligacions, (…) derivades de compromisos de despeses degudament adquirits en exercicis anteriors.” L’òrgan competent pels reconeixements de crèdit, entenent com a tal reconeixement, aprovar les despeses derivades d’obligacions contretes en exercicis anteriors, inicialment seria l’Ajuntament Ple, per aplicació de l’article 23.1e) del RDL 781/1986 que aprova el text refós de disposicions legals vigents en matèria de règim local, sempre que no existeixi dotació pressupostària adequada i suficient per cobrir aquesta despesa. No obstant, l’Ajuntament Ple ha delegat aquesta competència en la Junta de Govern local, en acord adoptat en la sessió de data 05/07/2011. PROPOSTA DE RESOLUCIÓ. En conseqüència, i d’acord amb l’article 172 del vigent Reglament d’organització, funcionament i règim jurídic de les entitats locals, aprovat per Reial decret 2568/1986, de 26 de novembre, no hi ha cap tipus d’obstacle legal ni reglamentari per tal que la Junta de Govern Local, adopti la següent proposta i la converteixi en resolució. PRIMER.- Aprovar l’expedient de reconeixement de crèdit a favor de COMPAÑIA INTEGRAL DE SEGURIDAD, SA ,amb NIF A8180827-1, i la despesa corresponent contreta a l’aplicació pressupostària següent: Aplicacions Pressupostàries Id.Op Núm. Op Import

2012 N 441 1320 22710 A 201200033159 1.448,21

Vista la factura incorporada a l’expedient per un import de 1.448,21 €, en concepte de regulació diferència IPC no aplicat a la facturació 2011, pel servei de vigilància i seguretat prestat al Parc Municipal de Can Solei. L’informe técnic que diu literalment: “Segons resolució exp. 010204-CONT-PRCON2011/000001 de data 19 d’abril de 2011, es va acceptar la prorroga per un any del contracte de servei de vigilància i seguretat privada al Parc de Can Solei-Torre Arnus i s’autoritzava un increment de preus d’un 2’8%, corresponent a l’increment de l’IPC, i d’acord amb els càlculs fet s’estimava el cost de la prorroga en 102.937,23 € IVA inclòs, dels quals 72.981,88 corresponien al exercici 2011 i 29.955,25 € al exercici 2012, a càrrec de la partida 012 1320 22710. Durant l’exercici 2011, l’empresa que ha prestat el servei, no ha aplicat l’increment de preus autoritzat i ha presentat aquest any la factura núm. 6214, en concepte de diferència IPC 2011, no facturat.”

Secretaria General

I l’informe jurídic precedent a l’expedient que s’ha complert la normativa de pertinent aplicació, procedeix aprovar la factura següent: Núm. Fra Data Import Aplic Nif Tercer

6214 30/06/2012 1.448,21 A81808271 COMPANIA INTEGRAL DE SEGURIDAD, SA

SEGON.- Comunicar aquesta resolució a: A8180827-1 COMPAÑIA INTEGRAL DE SEGURIDAD, SA .../.... Conforme al que preveu l’article 172 del ROFRJEL, dono la meva conformitat al contingut de la proposta de resolució precedent i trameto les actuacions al regidor de l’Àrea per tal que proposi a la Junta de Govern Local, als efectes interessats. .../... En atenció als fets, arguments i raonaments jurídics que s'exposen en la Proposta de resolució i els informes precedents, d’acord amb les previsions del Decret de delegació d’atribucions de data 12/07/2011, dono plena conformitat al seu contingut, la valido plenament i n'ordeno la tramitació a la propera i immediata sessió de la Junta de Govern Local, pel seu debat i aprovació, si escau. .../... RESOLUCIÓ A l’empara d’allò que preveu l’article 89.5 de la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú (LRJAP-PAC) accepto els antecedents, fonaments i raonaments jurídics de l’anterior Proposta de resolució i el contingut dels informes tècnics precedents, i resolc conformement. Votació. La proposta d'acord precedent s'aprova per unanimitat. Vots a favor: 4, del grup municipal del Partit Popular. CG-2012/4012 Aprovació reconeixement de crèdit per import de 554,64 a l'empresa Compañia Integral de Seguretat, per regularització diferència IPC no aplicat a la Facturació de l'any 2011 Identificació de l'expedient Tipus d’acte Aprovació d’expedient de reconeixement de crèdit. Òrgan que resol Junta de Govern Local Expedient 100306-GE-EXT2012/000002 Caràcter Definitiu.Exhaureix la via administrativa Ref. Addicional Procediment d’adjudicació GE-EXT GE-EXT Despeses exercicis Tancats Objecte de l’expedient Factura núm. 6215 de data 30/06/12, per un import de 554,64 €, en concepte de

diferencia IPC no aplicat a la facturació 2011, pel servei de vigilància i seguretat prestat al Parc Municipal de Can Solei.

RESOLUCIÓ Fets En relació a l’expedient de reconeixement de crèdit de referència, s’han portat a terme, i consten a l’expedient, les següents actuacions: Informe tècnic de data 11/07/2012. Informe jurídic de data 11/07/2012. Acte de fiscalització de l’expedient realitzat per la Intervenció Municipal de data 19/07/2012. Fonaments jurídics Respecte de la normativa aplicable, ens hem de remetre al Text Refós de la Llei d’Hisendes Locals i al RD 500/1990, de 20 d’abril, que desenvolupa el capítol I del Títol VI de la Llei. Concretament, l’article 26.2 b) del RD 500/1990 (i en els mateixos termes l’article 176 TRLHL) estableix que “S’aplicaran als crèdits del pressupost vigent, en el moment del seu reconeixement, les obligacions, (…) derivades de compromisos de despeses degudament adquirits en exercicis anteriors.” L’òrgan competent pels reconeixements de crèdit, entenent com a tal reconeixement, aprovar les despeses derivades d’obligacions contretes en exercicis anteriors, inicialment seria l’Ajuntament Ple, per aplicació de l’article 23.1e) del RDL 781/1986 que aprova el text refós de disposicions legals vigents en matèria de règim local, sempre que no existeixi dotació pressupostària adequada i suficient per cobrir aquesta despesa. No obstant, l’Ajuntament Ple ha delegat aquesta competència en la Junta de Govern local, en acord adoptat en la sessió de data 05/07/2011. PROPOSTA DE RESOLUCIÓ. En conseqüència, i d’acord amb l’article 172 del vigent Reglament d’organització, funcionament i règim jurídic de les entitats locals, aprovat per Reial decret 2568/1986, de 26 de novembre, no hi ha cap tipus

Secretaria General

d’obstacle legal ni reglamentari per tal que la Junta de Govern Local, adopti la següent proposta i la converteixi en resolució. PRIMER.- Aprovar l’expedient de reconeixement de crèdit a favor de COMPAÑIA INTEGRAL DE SEGURIDAD, SA ,amb NIF A8180827-1, i la despesa corresponent contreta a l’aplicació pressupostària següent: Aplicacions Pressupostàries Id.Op Núm. Op Import

2012 N 441 1320 22710 A 201200033161 554,64

Vista la factura incorporada a l’expedient, per un import de 554,64 €, en concepte de regulació diferencia IPC mp aplicat a la facturació 2011, pel servei de vigilància i seguretat prestat al Parc Municipal de Can Solei i l’informe tècnic que diu literalment: “ Segons resolució exp. 010204-CONT-PRCON2011/000001 de data 19 d’abril de 2011, es va acceptar la prorroga per un any del contracte de servei de vigilància i seguretat privada al Parc de Can Solei-Torre Arnus i s’autoritzava un increment de preus d’un 2’8%, corresponent a l’increment de l’IPC, i d’acord amb els càlculs fet s’estimava el cost de la prorroga en 102.937,23 € IVA inclòs, dels quals 72.981,88 corresponien al exercici 2011 i 29.955,25 € al exercici 2012, a càrrec de la partida 012 1320 22710. Durant l’exercici 2011, l’empresa que ha prestat el servei, no ha aplicat l’increment de preus autoritzat i ha presentat aquest any la factura núm. 6215, en concepte de diferència IPC 2011, no facturat.”

Núm. Fra Data Import Aplic Nif Tercer 6215 30/06/2012 554,64 A81808271 COMPANIA INTEGRAL

DE SEGURIDAD, SA SEGON.- Comunicar aquesta resolució a: A8180827-1 COMPAÑIA INTEGRAL DE SEGURIDAD, SA .../... Conforme al que preveu l’article 172 del ROFRJEL, dono la meva conformitat al contingut de la proposta de resolució precedent i trameto les actuacions al regidor de l’Àrea per tal que proposi a la Junta de Govern Local, als efectes interessats. .../... En atenció als fets, arguments i raonaments jurídics que s'exposen en la Proposta de resolució i els informes precedents, d’acord amb les previsions del Decret de delegació d’atribucions de data 12/07/2011, dono plena conformitat al seu contingut, la valido plenament i n'ordeno la tramitació a la propera i immediata sessió de la Junta de Govern Local, pel seu debat i aprovació, si escau. RESOLUCIÓ A l’empara d’allò que preveu l’article 89.5 de la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú (LRJAP-PAC) accepto els antecedents, fonaments i raonaments jurídics de l’anterior Proposta de resolució i el contingut dels informes tècnics precedents, i resolc conformement. Votació. La proposta d'acord precedent s'aprova per unanimitat. Vots a favor: 4, del grup municipal del Partit Popular. 6 Precs i preguntes. No se’n produeix cap. Final. La Presidència dóna per acabada la sessió a les dotze hores i cinquanta minuts, de la qual com secretari general, dono fe.” I perquè així consti, estenc la present certificació a Badalona a 7 de febrer de 2013. Vist i plau Xavier Garcia Albiol Albert Müller i Valentí ALCALDE SECRETARI GENERAL ACC.

albert müller i valentí, llicenciat en dret i secretari...

Documents