documento de seguridad cospa-agilmic, s.l.u

Manuel López Álvaro

Director de Administración y Finanzas

y Servicios Corporativos

Versión 03-09-2014

DOCUMENTO DE SEGURIDAD

COSPA-AGILMIC, S.L.U.

Cospa & Agilmic, S.L.U. Documento de Seguridad

2

INDICE

0. INTRODUCCIÓN

1. CONCEPTOS BÁSICOS

2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO DE SEGURIDAD

2.1 Responsable de los Ficheros

2.2 Responsable de Seguridad

2.3 Relación de Ficheros afectados por el Documento de Seguridad

2.3.1 Ficheros responsabilidad de la Compañía

2.3.2 Ficheros tratados como encargado del tratamiento

2.3.3 Medidas de seguridad como desarrollador de programas

2.4 Sistemas de información de la Compañía

2.4.1 Programas

2.4.2 Soportes

2.4.3 Estructura de la red y equipos

2.4.4 Ficheros no automatizados de la Compañía

3. FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A LOS FICHEROS

3.1 Responsable de los Ficheros

3.2 Responsable de Seguridad

3.3 Personal de la Compañía

4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARS DE SEGURIDAD

4.1 Acceso a los datos a través de redes de telecomunicaciones

4.2 Régimen de trabajo fuera de los locales de la ubicación de los ficheros

4.3 Ficheros temporales


3

Nivel de seguridad básico:

4.4 Identificación y autenticación

4.5 Copias de seguridad y recuperación de datos

4.6 Limitación en el uso de datos reales

Nivel de seguridad alto:

4.7 Registro de accesos

4.8 Auditorias periódicas

4.9 Redes de telecomunicaciones

4.10 Resumen de medidas de seguridad

5. INCIDENCIAS EN RELACIÓN EN LOS FICHEROS

6. TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS

ANEXOS


4

0. INTRODUCCIÓN

Este documento tiene la finalidad de establecer las medidas de tipo técnico y

organizativo que Cospa & Agilmic, S.L.U. (a partir de ahora, “la Compañía” o “el

Responsable de los Ficheros”), ha tomado para proteger los recursos con datos

personales de que dispone para el ejercicio de sus actividades empresariales. Con

este objetivo, la Compañía redacta este documento (a partir de ahora, "Documento de

Seguridad"), con el fin de adecuar sus actividades a la normativa en vigor en materia

de protección de datos, especialmente a la Ley Orgánica 15/1999, de 13 de diciembre,

de Protección de Datos de Carácter Personal (a partir de ahora, "LOPD") y al Real

Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de

carácter personal (a partir de ahora, "Reglamento de Seguridad"). Este Documento de

Seguridad está redactado en virtud de lo que dispone el citado Reglamento de

Seguridad.

Adicionalmente la Compañía se compromete a mantener actualizado el

presente Documento de seguridad, ya sea en ocasión de cambios significativos en su

estructura que afecten a los datos personales que en ejercicio de sus funciones trata o

bien por modificaciones legislativas que afecten directamente a su actividad en este

ámbito.

La actividad de la Compañía la hace especialmente sensible en materia del

cumplimiento de la normativa de protección de datos, puesto que debido a dicha

actividad aloja en programas desarrollados y/o comercializados por ella misma, entre

otros, datos responsabilidad de sus clientes, relacionados con menores de 14 años y

que incluso pueden revelar información relacionada con su salud. Es por este motivo

que la Compañía tiene una especial diligencia en el desarrollo de dichos programas y

aplicaciones y en las operaciones que pueden llevarse a cabo una vez sus clientes

alojan datos en dichos programas. En todo caso y en relación a los datos alojados en

dichos programas la Compañía accede a los mismos como un encargado del

tratamiento, resultando obligado a la aplicación de las medidas de seguridad

reglamentariamente exigibles.


5

1. CONCEPTOS BÁSICOS

A efectos de este Documento de Seguridad a los siguientes términos se les

asignará estas definiciones:

Dato de carácter personal: Cualquier información relativa a personas físicas

identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal,

independientemente de la forma o la modalidad de su creación, almacenamiento,

organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter

automatizado o no, que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de

comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero: la persona física o jurídica de carácter privado o

público, u órgano administrativo, que decida sobre la finalidad, contenido y uso del

tratamiento.

Responsable de seguridad: persona o personas en las que el responsable

del fichero asigna la función de coordinar y controlar las medidas de seguridad

aplicables.

Encargado del tratamiento: la persona física o jurídica que trate datos por

cuenta del responsable del fichero.

Sistemas de información: conjunto de ficheros automatizados, programas,

soportes y equipos utilizados para almacenar y tratar datos personales.

Sistema de tratamiento: modo en que se organiza o utiliza un sistema de

información. Atendiendo al sistema de tratamiento, los sistemas de información podrán

ser automatizados, no automatizados o parcialmente automatizados.


6

2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO DE SEGURIDAD

2.1. Responsable de los Ficheros

El presente Documento de Seguridad será de aplicación a los ficheros,

automatizados o no, soportes, programas y equipos con datos de carácter personal de

que dispone la Compañía, como Responsable de los Ficheros tiene la obligación de

implementar las medidas previstas en este Documento de Seguridad y de mantenerlo

debidamente actualizado.

A continuación se incluyen los datos identificativos de la Compañía y la

dirección exacta donde se encuentran ubicados estos ficheros.

Domicilio Social de la Compañía:

Calle Bravo Murillo, 377 6ª planta

28020 Madrid

CIF: B84537653

Otras oficinas de la Compañía:

Bilbao: Puente de Deusto, 7; 48014 Bilbao

San Fernando de Henares: Avenida de Castilla, 32-nave 26; 28830 Madrid

Sevilla: Dr. González Caraballo, 1; 41020 Sevilla

Valladolid: Santuario, 3; 47002 Valladolid

Barcelona: Pge. Bofill, 9-11; 8013 Barcelona

Servicios Externos

Edificio Acens

C/ San Rafael,14

28108 Alcobendas, Madrid

Teléfono: 911 418 502

Fax: 911 418 501


7

2.2. Responsable de Seguridad1

En virtud de la actividad de la Compañía, ésta ha nombrado Responsables de

seguridad de los Sistemas de Información de sus principales sedes, así como un

Responsable de seguridad de las aplicaciones que desarrolla y comercializa.

Finalmente se ha nombrado un Responsable de seguridad general que coordina la

aplicación efectiva de las medidas de seguridad establecidas en este Documento.

Responsables de Seguridad Madrid: Juan Carlos García e Iván González.

Responsable de Seguridad Barcelona: José Antonio Pérez

______________________________

Firma

1 Artículo 95 del Reglamento de Seguridad: “En ningún caso esta designación (la del Responsable de

Seguridad) supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con

este Reglamento.”


8

Responsable de seguridad de aplicaciones: Borja de Temple

______________________________

Firma

Los Responsables de Seguridad, son las personas indicadas para, según lo

que establece el artículo 91.4 del Reglamento de Seguridad, conceder, alterar o anular

el acceso autorizado sobre los recursos de la Compañía.


9

2.3. Relación de los Ficheros afectados por el Documento de Seguridad

Datos de empresarios individuales y personas de contacto de personas

jurídicas

El RLOPD no resulta de aplicación a los datos de personas jurídicas. Nos

referimos en este punto a un supuesto común que se da en muchos de los

Departamentos de la Compañía y que se refiere a los datos de empresarios

individuales y de personas de contacto de las personas jurídicas, datos que

normalmente son incluidos en los ficheros de clientes y proveedores de la Compañía.

Estos dos supuestos están regulados en los apartados 2 y 3 del Real Decreto

1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de

la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter

personal (en adelante, “Reglamento LOPD”), donde se indica:

“2. Este reglamento no será aplicable a los tratamientos de datos referidos a

personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las

personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su

nombre y apellidos, las funciones o puestos desempeñados, así como la dirección

postal o electrónica, teléfono y número de fax profesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan

referencia a ellos en su calidad de comerciantes, industriales o navieros, también se

entenderán excluidos del régimen de aplicación de la protección de datos de carácter

personal.”

Por lo tanto los datos de las personas jurídicas (o de sus representantes o

personas de contacto) o de los empresarios individuales, no están sujetos a lo

establecido en la normativa de protección de datos.


10

Datos de empresarios o profesionales individuales:

De la doctrina vigente, cabe deducir dos primeras premisas básicas que deben

servir para abordar este caso concreto:

Para discernir si los datos de un profesional o comerciante individual, deben ser

considerados como personales o no (lo que comportaría la aplicación de la LOPD y la

normativa de desarrollo), es necesario ir caso por caso. A pesar de las reglas que a

continuación expondremos, el Tribunal Supremo en su sentencia de 20/02/2007,

recuerda que “(…) exigirá siempre ir analizando caso por caso para hallar en cada

supuesto concreto el límite fronterizo donde resulte afectado el derecho fundamental a

la protección de datos de los interesados personas físicas, o, por el contrario, aquél no

resulte amenazado por incidir tan sólo en la esfera de la actividad comercial o

empresarial (…)”.

En caso de duda en la aplicación de las reglas que expondremos a

continuación, no siendo posible determinar con certitud si un dato relativo a un

profesional o comerciante individual, es personal o no, el Tribunal Supremo nos

recuerda, en esa misma sentencia, “(…) la solución deberá siempre adoptarse a favor

de la protección de los derechos fundamentales (…)”. Por tanto, en caso que una vez

analizado el caso concreto persista la duda, debemos decantarnos por conceder a la

información relativa al profesional o comerciante individual, las garantías relativas a la

protección de datos.

Vistas las reglas básicas los datos de un profesional o comerciante individual,

se considerarán personales y por tanto, dispondrán de las garantías recogidas en la

LOPD y demás normativa de desarrollo, cuando:

En el caso de profesionales individuales, cuando estos no tengan organizada

su actividad bajo la forma de empresa, no ostentando, por tanto, la condición de


11

comerciante (por ejemplo los profesionales liberales, expresamente excluidos del

ámbito de aplicación de la Ley Básica 3/1993 de Cámaras de Comercio, Industria y

Navegación, en su artículo 6.2). Un ejemplo de este supuesto serían los datos de un

abogado individual que se identificara en el tráfico mercantil con su nombre físico,

quedando el tratamiento de los mismos a lo dispuesto en la LOPD y demás normativa

de desarrollo.

En relación a los datos relativos a comerciantes individuales quedaría bajo el

paraguas protector de la LOPD, en el caso que no fuera posible diferenciar su

actividad mercantil de la propia actividad privada. Nos estamos refiriendo en este caso,

a los autónomos que son definidos en el artículo 1.1 de su Estatuto (Ley 20/2007),

como a las “(…) personas físicas que realicen de forma habitual, personal, directa, por

cuenta propia y fuera del ámbito de dirección y organización de otra persona, una

actividad económica o profesional a título lucrativo, den o no ocupación a trabajadores

por cuenta ajena.”.

De esta regla establecida por la doctrina actual, cabe deducir por tanto, que la

aplicabilidad o no de la LOPD y de la demás normativa de desarrollo, no dependerá de

si un dato o información concreta hace referencia a un profesional, sino de la

naturaleza de persona física o jurídica el titular del dato. En consecuencia, el hecho de

que un profesional o comerciante individual utilice sus datos personales para

distinguirse en el ámbito de una actividad mercantil, no implica que quien trate esos

datos pueda quedar al margen de las previsiones de la normativa vigente en materia

de protección de datos.

Por último la Sentencia de la Audiencia Nacional, Sección 1ª, de 29 de marzo

de 2006, añade nuevos elementos para ayudarnos en el caso que una vez aplicadas

las reglas precedentes aún no podamos determinar si un dato de un profesional o

comerciante individual, tiene la característica de personal o no:


12

a) Criterio objetivo: según el cual debemos fijarnos en la naturaleza del dato y

tratar de resolver si el mismo se refiere a la esfera personal o íntima o a la

profesional de su titular.

b) Criterio de la finalidad: por último también disponemos del criterio por el

cual resulta necesario conocer la finalidad u objetivo concreto para el que

quiera tratarse el dato, concluyendo así, que hay finalidades estrechamente

relacionadas con la vida personal o íntima y otras con la actividad

profesional.

Datos de personas de contacto de personas jurídicas:

Para excluir la aplicación de la normativa de protección de datos en el caso de

las personas de contacto de las personas jurídicas, es necesario que el tratamiento del

dato de la persona física de contacto de la empresa, sea puramente incidental o

accidental del mencionado tratamiento. La AEPD ha sostenido que las direcciones de

correo electrónico en que figuran algunos nombres de personas de la empresa con las

que el responsable del tratamiento mantuvo relación comercial “(…) se trata de

direcciones institucionales de empresa que, por lo tanto, no tienen la consideración de

dato personal, por lo que procede acordar el archivo de las actuaciones previas de

investigación.”

Por tanto, vista la regulación del RLOPD y la doctrina de la AEPD, para excluir

la aplicación de la normativa de protección de datos en relación a los datos de las

personas de contacto de las personas jurídicas, es necesario el cumplimiento de dos

requisitos:

Que los datos se refieran exclusivamente, al nombre y apellidos, funciones

puestos desempeñados, dirección postal o electrónica, teléfono y número de fax

profesional. La inclusión en un fichero y el tratamiento de cualquier otro dato relativo a

dicha persona, quedaría amparada por la LOPD y su normativa de desarrollo.


13

El tratamiento del dato debe ser meramente incidental, de forma que la

finalidad de su tratamiento debe ser, mantener la relación con la persona jurídica y el

uso del dato de la persona física debe dirigirse exclusivamente, a colmar dicha

finalidad.

2.3.1. Ficheros responsabilidad de la Compañía

A continuación se incluye una relación completa de los ficheros de que dispone

la Compañía, que ésta trata como responsable, indicando la estructura2 de los

mismos:

a) Fichero de Clientes

• Nombre del Fichero: Clientes.

• Soporte del Fichero: Informático Logic Control (Class).

• Encargados del tratamiento: Ver Anexo II.

• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de los cobros a sus clientes y mantenerlos informados de ofertas comerciales relacionadas con su actividad.

• Datos que recoge el fichero:

a) Nombre y apellidos.

b) Dirección (postal, electrónica).

c) DNI/NIF.

d) Teléfono.

2 El Anexo I recoge impresiones de pantalla de los distintos programas a efectos de conocer los datos

archivados en los ficheros de la Compañía.


14

e) Datos bancarios.

f) Bienes y servicios recibidos por el afectado.

• Nivel de seguridad: Básico.

b) Fichero de Proveedores

• Nombre del Fichero: Proveedores.

• Soporte del fichero: Informático Logic Control (Class)

• Encargado del tratamiento: Ver Anexo II.

• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de pagos a los proveedores.

• Datos recogidos:


b) DNI/NIF.

c) Dirección (postal, electrónica).

d) Teléfono.

e) Datos bancarios.

f) Bienes y servicios suministrados por el afectado.



15

c) Fichero de Trabajadores

• Nombre del Fichero: Trabajadores.

• Soporte del Fichero: Papel.


• Finalidades del fichero: Fichero maestro de la Compañía para la gestión de su personal.


a) Datos de salud.

b) Nombre y apellidos.

c) DNI/NIF.

d) Nº. S.S./ Mutualidad.

e) Datos económicos de la nómina.

f) Datos no económicos de la nómina.

g) Ingresos.

h) Datos bancarios.

• Nivel de seguridad: Básico3.

d) Fichero de Currículums

• Nombre del Fichero: Currículums.

3 A pesar que el fichero de trabajadores recoge datos de salud, el artículo 81.6 del Real Decreto

1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13

de diciembre, de protección de datos de carácter personal, permite la implementación de medidas de nivel básico para

este fichero.


16

• Soporte del tratamiento: Papel.

• Encargado del tratamiento: No.

• Finalidades declaradas: Fichero maestro de la Compañía para cubrir vacantes laborales.



b) DNI/NIF.

c) Dirección.

d) Teléfono.

i) Imagen.

j) Datos de estado civil.

k) Fecha de nacimiento.

l) Sexo.

m) Nacionalidad.

n) Lengua materna.

o) Situación militar.

p) Afecciones y estilos de vida.

q) Formación, titulaciones.

r) Historial de estudiante.

s) Experiencia profesional.

• Nivel de seguridad: Medio.

e) Fichero de Usuarios Web

• Nombre del Fichero: Usuarios Web.


17

• Soporte del tratamiento: Informático.

• Encargado del tratamiento: No.

• Finalidades declaradas: Fichero maestro de la Compañía para gestionar los contactos generados desde su página web (www.cospa-agilmic.com).



b) DNI/NIF.

c) Dirección postal y/o electrónica.

d) Teléfono.


f) Fichero de Visitas

• Nombre del Fichero: Visitas.

• Soporte del Fichero: Informático y papel.

• Encargados del tratamiento: Ver Anexo II.

• Finalidades del fichero: Fichero de la Compañía para controlar el acceso de personas ajenas, a sus oficinas



b) Puesto de trabajo.



18

g) Fichero de Grabaciones Telefónicas

• Nombre del Fichero: Grabaciones Telefónicas4.

• Soporte del tratamiento: Informático.


• Finalidades declaradas: Fichero maestro de la Compañía para gestionar y controlar la atención al cliente ofrecida por sus trabajadores.


a) Voz.


2.3.2. Ficheros tratados como encargado del tratamiento

Según la actividad de la Compañía, ésta puede tratar datos personales

ubicados en ficheros responsabilidad de sus clientes, por lo que según lo establecido

en el artículo 12 de la LOPD y debido a que accede a esos datos para la exclusiva

finalidad de la prestación de un servicio, la Compañía tiene la consideración de

encargado del tratamiento.

Contractualmente la Compañía se compromete además, a tomar ciertas

medidas de seguridad encaminadas a garantizar el debido uso y tratamiento de esos

datos, aplicando aquellas especialmente previstas en el Reglamento de Seguridad,

atendiendo al nivel de seguridad exigible.

4 La Compañía ha elaborado un protocolo de llamadas que se acompaña al presente documento como

Anexo XVI.


19

La Compañía ha establecido el siguiente sistema de recepción de datos por

parte de los Clientes, de forma que no sea necesario el acceso a sus datos

personales:

ALEXIA:

Esta es la plataforma actualmente comercializada para la gestión académica de

los centros docentes y cuyos derechos corresponden en exclusiva a Compañía. En el

Anexo XIV, se incluye una copia del Manual LOPD de Alexia.

SIGMA:

Según los módulos u opciones que se estén utilizando en el programa, la base

de datos de SIGMA contendrá datos que se pueden considerar de nivel bajo, medio o

alto. En Cospa&Agilmic puede necesitarse dicha base de datos para diagnosticar

determinados problemas al cliente pero podría darse el caso de que el centro, por

política relacionada con la LOPD, tenga dificultades para mandar esta información.

Para enviar datos a Cospa&Agilmic, se incluyó en Sigma una opción que

permite realizar una copia de la BBDD, pero enmascarando u omitiendo la información

sensible a la que hace referencia la LOPD, reduciendo así el reparo que pudiera tener

el centro a sacar datos fuera de sus instalaciones y permitiendo a la empresa el

estudio del problema, si bien es cierto que para determinados diagnósticos será

imprescindible toda la información, aunque el contrato firmado con Cospa&Agilmic

garantiza el cuidado en el tratamiento de esos datos.

Para acceder a dicha opción haga clic en AYUDA � ENVÍO DE DATOS AL

SAT, y se mostrará la siguiente pantalla:

Desde esta pantalla podrá elegir la información que desea enmascarar.


20

Con el botón ACTIVAR se marcará toda la información sensible (al hacer clic sobre

este botón, se mostrará como DESACTIVAR) para desmarcar todas las opciones).

El botón EJECUTAR, realizará la copia una vez elegidas todas las opciones de

configuración deseadas.

Se distingue entre Datos del colegio y Datos constantes, ya que en Sigma se

trabaja con 2 bases de datos:

Los datos del colegio contienen la información específica del centro: alumnos,

familias, profesores, evaluación, etc.

En los datos constantes se incluyen datos generales que suelen ser comunes

a todos los centros: Provincias, países, etc. Es por ello que en esta base de datos no

existen datos personales, pero se incluye en el proceso de copia para facilitar el envío

de toda la información necesaria a Cospa&Agilmic S.L.U..

La información se enmascara diferente según los datos elegidos. Así por

ejemplo si elige las opciones por defecto (por ser las más sensibles), datos médicos,

psicológicos y diario médico, esta información normalmente se borrará de la copia y no

será enviada. En cambio el resto de la información simplemente se enmascarará para

que no se pueda identificar a la persona pero seguirá existiendo.

Por ejemplo, si elegimos enmascarar nombre de padre, alumno, etc. (primera

opción), el resultado será el mostrado a continuación:


21

Como puede comprobar, donde existían datos personales identificativos, se ha

sustituido por el nombre del dato seguido de la matrícula del alumno. Con el dato

matrícula del alumno se facilitará el diagnóstico, pero no se podrá identificar al alumno.

Con el resto de información sensible se sigue el mismo criterio (salvo datos

médicos y psicológicos que tal y como hemos visto, se no se incluyen directamente).

Si fuera necesario incluir los datos médicos y psicológicos, se podría desmarcar esta

opción en el envío, pero enmascarar el resto de datos identificativos, de forma que se

podrán realizar diagnósticos sin posibilidad de identificar a los alumnos.

Puede elegir donde se copiarán los datos que posteriormente y por el método

más apropiado, enviará a Cospa&Agilmic S.L.U., para ello elija la ruta a través del

control que encontrará en el área inferior de la pantalla:

Una vez elegidas las opciones para enmascarar los datos, si incluirá o no los

datos de constantes, y la ruta donde se ubicarán las copias resultantes, haga clic en el

botón de ejecución, y se creará una copia “EnviosSAE” con los datos

correspondientes, tal y como se muestra en la siguiente figura:


22

Dentro de esa nueva carpeta “EnviosSAE” encontrará 2 o 4 archivos en función

de si se han elegido o no enviar los datos de Constantes.

Los ficheros que deberá mandar son los datos con extensión ZIP. La

nomenclatura de dichos archivos es:

Para datos del colegio: “Bk” + Código de centro (con su letra) + “.ZIP”

Para datos constantes: “BkConst.zip” (siempre el mismo nombre).

LIBERMARC

Las opciones de protección de datos personales existentes en LiberMarc,

posibilitan el cumplimiento de la LOPD en relación al nivel de datos que se gestiona en

esta aplicación. La ley sólo afecta a datos personales y en relación a LiberMarc

encontramos este tipo de información únicamente en lo referente a lectores. Es

importante tener en cuenta que para los datos existentes y según los criterios de la

LOPD, se consideran de nivel BÁSICO.

Para su protección, en LiberMarc existen las siguientes posibilidades:


23

Entrada al programa protegida por usuario y contraseña.

Posibilidad de que el usuario modifique su contraseña.

Control de acceso con restricciones:

Se puede establecer una longitud mínima de la contraseña.

Se puede configurar una caducidad (obligando a usuario a cambiarla

periódicamente).

Controlar el acceso mediante un número máximo de intentos, tras los cuales se

cerraría la aplicación).

Para la versión Access:

Se protegería los accesos a los datos de lectores desde aplicaciones diferentes

a LiberMarc (accesos directos a la base de datos).

Enviar datos al CTE de Cospa&Agilmic S.L.U. enmascarando los datos de

lectores.

Con respecto a las opciones de protección de datos, existen 2 perfiles a tener

en cuenta, el administrador y el resto de los usuarios. Según el perfil de acceso del

usuario, tendrá disponibles diferentes opciones.

SOPHIA

Las opciones de protección de datos personales existentes en SOPHIA,

posibilitan el cumplimiento de la LOPD en relación al nivel de datos que se gestiona en

esta aplicación. La ley sólo afecta a datos personales y en relación a SOPHIA

encontramos este tipo de información únicamente en lo referente a lectores. Es

importante tener en cuenta que para los datos existentes y según los criterios de la

LOPD, se consideran de nivel BÁSICO.

Para su protección, en SOPHIA existen las siguientes posibilidades:

Entrada al programa protegida por usuario y contraseña.

Posibilidad de que el usuario modifique su contraseña.


24

Control de acceso con restricciones:

Se puede establecer una longitud mínima de la contraseña.

Se puede configurar una caducidad.

Se puede Controlar el acceso mediante un número máximo de intentos.

Con respecto a las opciones de protección de datos, existen 2 perfiles a tener

en cuenta, el administrador y el resto de los usuarios. Según el perfil de acceso del

usuario, tendrá disponibles diferentes opciones.

En base a las recomendaciones del informe del Auditor de Protección de

Datos, existe en Cospa&Agilmic, un tratamiento de las bases de datos de SophiA,

mediante el cual, los datos personales que pudiera contener son enmascarados para

no ser reconocibles, ni utilizables de ningún modo, como tales datos personales, pero

manteniendo la estructura y registros de la BBDD.

Pudiendo así y tan solo en el caso de que fuera necesario, enviar la base de

datos con dichos datos enmascarados, de modo que los desarrolladores de la

aplicación SophiA, puedan realizar los trabajos de verificación y diagnóstico ante

posibles problemas que pudieran sugir, en lo relativo al funcionamiento del programa.

De este modo, se asegura que no exista acceso a datos personales.

Sin perjuicio de lo indicado hasta ahora, en el caso que la Compañía tenga que

acceder a datos personales responsabilidad de sus clientes, se compromete a adaptar

las siguientes medidas de seguridad:

a) Mantenimiento de los programas licenciados5.

La Compañía comercializa diferentes programas informáticos bajo licencias de

uso, de forma que dichos programas son instalados de forma local en las oficinas de

los clientes. Conjuntamente con esta licencia de uso, los clientes que así lo deseen,

pueden contratar servicios de mantenimiento evolutivo y/o correctivo de los mismos.

En función de esta prestación de servicios, la Compañía puede llegar a acceder a los

datos archivados en dichos programas de los cuales, serán responsables los

correspondientes clientes. El acceso a dichos datos por parte de la Compañía se

5 Programas SIGMA, AMIC, LIBERMARC, ASESOR , ALEXIA Y SOPHIA.


25

realiza a través de correo electrónico, correo postal o mensajería, de forma presencial

en las oficinas del cliente, por protocolo ftp, por acceso remoto y por fax. Es necesario

señalar que la Compañía accede a estos datos como un mero encargado del

tratamiento ya que trata los “datos por cuenta del Responsable del fichero” siendo el

cliente el que decide “sobre la finalidad, contenido y uso del tratamiento”; es por todo

ello que:

� Tipos de datos tratados:

o Programa SIGMA:

� Nombre y apellidos de alumnos, profesores y padres.

� Calificaciones.

� Datos médicos (ocasionalmente).

o Programa ALEXIA:


� Calificaciones.

o Programa AMIC:


� Calificaciones.

o Programa LIBERMARC:

� Datos identificativos usuarios de bibliotecas.

o Programa SOPHIA:


o Programa ASESOR:

� Datos fiscales de clientes y proveedores.

� Medidas de seguridad aplicables:

o Programa SIGMA: En el caso que como consecuencia de la prestación del

servicio de mantenimiento, la Compañía, tenga acceso a datos médicos (de

salud) de los alumnos, éste deberá adoptar las medidas de nivel alto, que

se definen en el presente Documento de Seguridad que coinciden con las

establecidas en el Reglamento de Seguridad, concretamente aquellas

detalladas en los artículos del 89 al 104. Si por el contrario, únicamente se


26

accede a datos identificativos y relativos a calificaciones de los alumnos,

deberá adoptar medidas de nivel básico.

o Programa ALEXIA: Nivel alto.

o Programa AMIC: Nivel básico.

o Programa LIBERMARC: Nivel básico.

o Programa SOPHIA: Nivel básico.

o Programa ASESOR: Nivel básico.

b) Acceso a programas en la nube.

La Compañía comercializa, así mismo, programas informáticos que a su vez,

están alojados en servidores titularidad de Acens Technologies, SA, proveedora del

servicio en la nube; de modo que los datos que allí se alojan, no quedan archivados en

las oficinas y equipos del cliente, sino en un servidor web (propiedad del proveedor del

servicio), y el cliente únicamente contrata el acceso a dicho servidor, junto con el

derecho a usar el programa comercializado por la Compañía. Es por todo ello, que la

Compañía puede acceder a los datos que se alojan en dicho servidor, ya que

mantiene el control total sobre el mismo, convirtiéndose, en éste caso, en encargado

del tratamiento.

� Tipos de datos tratados:

o Programa ViaEducativa (en extinción):


� Calificaciones.

o Programa AMIWEB (en extinción):


� Calificaciones.

o Programa SophiA (sustituyendo progresivamente a VíaCultural):


o Programa ALEXIA


� Calificaciones.


27

� Medidas de seguridad aplicables en ambos casos: en el alojamiento y

tratamiento de estos datos, la Compañía, deberá adoptar medidas de

seguridad de nivel básico establecidas en el Reglamento de Seguridad,

concretamente aquellas detalladas en los artículos del 89 al 94.

� Los programas comercializados en la modalidad servidor, están alojados en un

servidor dedicado ubicado en las instalaciones de Acens Technologies, S.A.,

que también resulta afectado por lo indicado en el presente Documento de

Seguridad, debiendo aplicar, en cualquier caso, las medidas de seguridad que

correspondan a cada programa comercializado en esta modalidad.

c) Departamento de producción.

En este departamento de la Compañía, ésta presta servicios a sus clientes

(principalmente escuelas) encaminados a facilitar dos tipos de actividades: la

introducción de las calificaciones de sus alumnos y la introducción de datos relativos a

los distintos tests de capacidad y similares realizados por los centros a los mismos

alumnos. En ambos casos resulta evidente el tratamiento de datos que están ubicados

en ficheros de los que los clientes de la Compañía son responsables, veamos las

particularidades de cada uno de ambos casos:

c.1. Introducción de evaluaciones de alumnos.

� Tipos de datos:

o Nombre y apellidos del alumno.

o Calificaciones del alumno.

o Dirección postal del alumno.

o Nombre y apellido del padre y madre del alumno.

o Profesión del padre y madre del alumno.

� Medidas de seguridad aplicables: en virtud de lo señalado en la normativa en

vigor, el tratamiento de estos datos por parte de la Compañía deberá cumplir


28

con las medidas de seguridad de nivel básico establecidas en el Reglamento

de Seguridad, concretamente aquellas detalladas en los artículos del 89 al 94.

c.2. Introducción de tests.

� Tipos de datos: o Nombre y apellidos del alumno. o Respuestas introducidas en los distintos tests de capacidad y personalidad. o Resultados de los tests.

� Medidas de seguridad: considerando que el tipo de datos que se tratan en este

supuesto, pueden llegar obtener una evaluación de la personalidad de los

alumnos, se considera necesario que se apliquen las medidas de seguridad

establecidas en los artículos 89 a 100 del Reglamento de Seguridad (nivel de

seguridad medio).

d) Servicios fiscales y contables:

La Compañía dispone de un departamento en el que se prestan servicios

fiscales y contables a los clientes. La prestación de este servicio puede implicar que la

Compañía pueda tratar datos ubicados en los Ficheros de Clientes y Proveedores

titularidad de sus clientes, supuesto que encaja en lo que establece el artículo 12 de la

LOPD.

� Tipos de datos:

o Datos fiscales.

o Nombres y apellidos de clientes y proveedores de los clientes de la

Compañía.

� Medidas de seguridad: en virtud de lo señalado en la normativa en vigor, el

tratamiento de estos datos por parte de la Compañía deberá cumplir, con las

medidas de seguridad de nivel básico establecidas en el Reglamento de

Seguridad, concretamente aquellas detalladas en los artículos del 89 al 94.


29

2.3.3. Medidas de seguridad como desarrollador de programas

Además de las medidas de seguridad que la Compañía deberá adoptar como

responsable de ficheros (ver apartado 2.3.1.) o como encargado del tratamiento (ver

apartado 2.3.2) según proceda; ésta tiene, entre sus actividades principales, el

desarrollo de aplicaciones informáticas que almacenan datos personales. Es necesario

pues, que dichas aplicaciones, en función del tipo de datos que alojen, cumplan con

las medidas de seguridad previstas en el presente Documento de Seguridad, en

concreto aquellas que se establecen a nivel del propio programa y que se verán en el

apartado 4. A continuación se recogen los programas desarrollados por la Compañía,

estableciendo el nivel de seguridad aplicable:

Nombre del programa Tipo de datos Nivel de Seguridad6

SIGMA Identificativos Básico

SIGMA (módulo datos médicos)

Salud Alto

ALEXIA Identificativos,

calificaciones y salud Alto

AMIC Identificativos Básico

ORION Personalidad Medio

LIBERMARC Identificativos Básico

SOPHIA Identificativos Básico

ASESOR Identificativos Básico

VIA EDUCATIVA Identificativos Básico

AMIWEB Identificativos Básico

VIA CULTURAL Identificativos Básico

6 Ver apartado 4 del Documento de Seguridad.


30

2.4. Sistemas de información de la Compañía

Los sistemas de información de la Compañía que tratan datos de carácter

personal, están integrados por los programas, soportes y equipos donde se archivan

los datos. En cualquier caso el acceso de las personas a los locales donde están los

sistemas de información de la Compañía, está debidamente controlado a través de

llave y sólo puede acceder el personal debidamente autorizado.

2.4.1. Programas

Los programas o aplicaciones que la Compañía utiliza para tratar los datos de

carácter personal se detallan en el Anexo III en este Documento de Seguridad.

2.4.2. Soportes

Los soportes que la Compañía utiliza para tratar los datos de carácter personal,

son los relacionados en el Anexo IV en este Documento de Seguridad. La Compañía

garantiza que los soportes están debidamente identificados e inventariados y que

están depositados en una ubicación donde sólo tiene acceso el personal de la

Compañía con autorización para tratar datos personales.

Cualquier salida de los soportes con datos personales (incluyendo los

comprendidos y/o anejos a los correos electrónicos) del lugar donde éstos están

normalmente depositados, requerirá una autorización expresa del Responsable de los

Ficheros. Además se establece el registro de entradas y salidas de los ficheros

establecidos en el Anexo IV de este Documento de Seguridad. En el caso de salida de

los soportes, se tomarán las medidas necesarias para impedir cualquier recuperación

indebida de la información contenida en estos soportes.

En caso de que el Responsable de los Ficheros tenga que desechar, por falta

de uso, o reutilizar un soporte, este procedimiento se llevará a cabo de forma que sea

imposible la recuperación total o parcial de los datos contenidos en aquel fichero. En

caso de que el soporte deba ser tirado, el Responsable de Seguridad tomará todas las

medidas para asegurar su efectiva destrucción física.

En el supuesto de que se lleve a cabo una distribución de los soportes por

motivos de seguridad, se tomarán las medidas necesarias para que durante el

transporte de los datos, éstos sean ininteligibles con el objetivo que no puedan ser


31

manipulados. Con la finalidad de conseguir este resultado, el Responsable de los

Ficheros, cifrará los datos cuando lleve a cabo este tipo de operaciones.

2.4.3. Estructura de la red y equipos

Los equipos que la Compañía utiliza para tratar los datos de carácter personal,

son los relacionados en el Anexo V en este Documento de Seguridad. Este anexo

adjunta esquema de la red informática de la Compañía.

2.4.4. Ficheros no automatizados de la Compañía

La Compañía declara y garantiza que los ficheros no automatizados con datos

personales (en soporte papel), de que dispone están debidamente almacenados y que

controla el acceso del personal interno y de las personas externas, a estos ficheros.

En cualquier caso la Compañía se compromete a adoptar las medidas de seguridad

para ficheros y tratamientos no automatizados, definidos en el Reglamento de

Seguridad (artículos 105 a 114).

En el caso de que los ficheros en soporte papel dejen de ser útiles para las

finalidades por las cuales los datos fueron recogidos, la Compañía garantiza la

completa destrucción física del mencionados ficheros.

La Compañía garantiza a las personas afectadas por los datos que se

encuentran en estos tipos de ficheros, los derechos que la LOPD les reconoce:

acceso, rectificación, cancelación y oposición. Así mismo la Compañía conoce que las

medidas de seguridad técnicas y organizativas establecidas en este Documento de

Seguridad, para datos automatizados, también son aplicables a los no automatizados,

concretamente en lo que respecta a: funciones y obligaciones del personal, registro de

incidencias, control de acceso y gestión de soportes.


32

3. FUNCIONES Y OBLIGACIONES DEL PERSONAL CON ACCESO A LOS FICHEROS

3.1. Responsable de los Ficheros

La Compañía, como Responsable de los Ficheros, declara que ha informado

debidamente al personal con acceso a los ficheros afectados por este Documento de

Seguridad, de las obligaciones que tienen en el ejercicio de sus funciones y de las

consecuencias que puede tener para ellos el incumplimiento de estas obligaciones.

Además como Responsable de los Ficheros la Compañía, está obligada a:

a) Autorizar el tratamiento de datos fuera de sus oficinas.

b) Elaborar e implementar la normativa de seguridad establecida en este

Documento de Seguridad.

c) Autorizar la salida de soportes con datos de carácter personal fuera de sus

oficinas.

d) Adoptar las medidas correctoras propuestas por el Responsable de

Seguridad una vez conocido el Informe de auditoría obligatorio.

e) Mantener actualizada la relación de usuarios con acceso a los ficheros con

datos personales.

f) Establecer un sistema que permita de forma inequívoca y personalizada la

identificación de cualquier usuario que intente acceder a los ficheros con

datos personales.

g) Limitar la posibilidad de intentar reiteradamente accesos no autorizados.

h) Establecer mecanismos para evitar que los usuarios puedan acceder a

ficheros con funciones o derechos que no tengan previamente atribuidos.

i) Autorizar, cuando sea necesario la transmisión de datos mediante sistemas

de comunicación.

j) Establecer los mecanismos de encriptación de datos.


33

3.2. Responsable de Seguridad

El Responsable de Seguridad designado por el Responsable de los Ficheros,

tendrá las siguientes funciones:

a) Coordinar y controlar las medidas de seguridad.

b) Comprobar los sistemas que realizan las copias de seguridad y de

recuperación de datos y nombrar a la persona encargada de llevarlas a

cabo.

c) Analizar los Informes de auditoría y presentar las conclusiones al

Responsable de los Ficheros.

d) Analizar periódicamente la información registrada y elaborar un informe

sobre las revisiones y problemas detectados.

e) Comprobar que se aplican los mecanismos de identificación y

autenticación.

f) Comprobar que los usuarios únicamente acceden a los datos que necesitan

para ejercer sus funciones.

g) Dar de alta y entregar la contraseña a los nuevos usuarios.

h) Mantener actualizado el Documento de Seguridad.

i) Determinar la pertinencia o no de los sistemas de comunicación propuestos

por la transmisión de datos personales.

j) Controlar los sistemas de encriptación de datos.

k) Establecer las medidas de seguridad necesarias para evitar accesos

remotos no autorizados.


34

3.3. Personal de la Compañía

El personal con acceso a los ficheros con datos de carácter personal se

compromete a guardar confidencialidad sobre los datos que conozcan en ejercicio de

sus funciones. Asimismo únicamente accederán a los datos por motivos o finalidades

que se desprendan de sus funciones y obligaciones laborales. En cualquier caso, la

Compañía y el personal con acceso a los datos firmarán un documento donde

establezcan las condiciones y las finalidades de acceso a los ficheros. El Anexo VI al

presente Documento de Seguridad recoge a un modelo de declaración a firmar para

los empleados de la Compañía.

Con el fin de acceder a los ficheros el personal dispone de una contraseña que

es personal e intransferible. En todo caso tendrá que mantener la mencionada

contraseña bajo su exclusivo control y en caso de que sospechara que un tercero no

autorizado ha tenido acceso a la misma así lo debería comunicar al Responsable de

Seguridad o al Responsable de los Ficheros. En ningún caso el personal utilizará la

contraseña para acceder a los ficheros fuera de las oficinas de la Compañía, sin el

consentimiento del Responsable de Seguridad.

En cualquier caso el personal con acceso a datos, evitará la creación de

ficheros con datos personales distintos a los enumerados en el presente Documento

de Seguridad, sin la previa comunicación y autorización preceptiva al Responsable de

Seguridad. Bajo ninguna circunstancia el personal creará ficheros sin seguir dichas

normas y, en ningún caso, los almacenará en su disco duro; siendo necesario que

éstos, en caso de ser creados, sean ubicados en alguna de las Carpetas de Red,

donde el Responsable de Seguridad pueda limitar y controlar los accesos a dicho

fichero. En todo caso, debe considerarse que la extracción esporádica de datos de

cualquiera de los ficheros tratados por la Compañía, no se considerará la creación de

un nuevo fichero, sino como un fichero temporal, circunstancia tratada en el presente

Documento de Seguridad7.

En el caso de centros de trabajo enumerados en el apartado 2.1. que no se

incluyan en el procedimiento de copias de respaldo detallado en el apartado 4.5.8, por

ser obligación de cada usuario la realización de dicha copia; la Compañía declara que

7 Ver apartado 4.3..

8 Bilbao, Sevilla, Valencia, Valladolid y Zaragoza.


35

ha informado a dichos usuarios de la mencionada obligación, que deberá asistirles en

lo que precisen a estos efectos y que controla la realización periódica de las

mencionadas copias de respaldo.

Por último es obligación de cada usuario borrar periódicamente los datos

incluidos en las carpetas a las que tenga acceso, cuando éstos hayan dejado de servir

a la finalidad por el que los ficheros donde se ubican dichos datos, fueron creados.

El Anexo VII al presente Documento de Seguridad incluye una relación

completa y actualizada del personal de la Compañía con acceso a los ficheros con

datos de carácter personal. Este listado tendrá que incluir, además de los datos

identificativos de las personas con acceso a los datos, el nivel de acceso a los ficheros

de que cada uno de ellos dispone (por ejemplo: consulta, modificación, cancelación,

etc.).

Formación: todos los trabajadores de la Compañía reciben de forma periódica

sesiones formativas relacionadas con la implementación práctica de la normativa de

protección de datos. Concretamente se han celebrado las siguientes sesiones de

formación:

- Madrid: 27/05/2010.

- Barcelona: 03/06/2010.

- Madrid y Barcelona (por video conferencia): 10/07/2012.


36

4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTANDARS DE SEGURIDAD

En el ejercicio de sus actividades, la Compañía trata por cuenta de sus clientes

datos de carácter personal, cuya titularidad es de éstos, además de los datos

ubicados en los ficheros de los que es titular. Atendiendo al nivel de seguridad que

exigen los datos entregados por los clientes, la Compañía aplicará e implementará las

medidas de seguridad que se establecen a continuación. Las medidas de seguridad

que a continuación se indican se aplican, pues, tanto a los ficheros titularidad de la

Compañía, como en aquéllos que ésta trata por cuenta de sus clientes. En concreto

las medidas de seguridad de nivel medio y alto, únicamente se aplicarán a los datos

tratados por la Compañía por cuenta de sus clientes, ya que los datos de los cuales es

responsable, únicamente exigen medidas de seguridad de nivel básico. Más

concretamente, éstas medidas de seguridad se aplicarán, exclusivamente a:

� Medidas de seguridad de nivel alto: Programa SIGMA (módulo de datos

médicos).

� Medidas de seguridad de nivel alto: Programa ALEXIA.

� Medidas de seguridad de nivel medio: Programa ORION.

Ambos programas, al ser comercializados por la Compañía, deberán prever

que las medidas de seguridad que en cada caso se han establecido para cada uno de

ellos, así como incorporar, en el manual de usuario, una descripción técnica del nivel

de seguridad exigido a los datos que trata. Adicionalmente y considerando que la

Compañía puede tratar estos datos como encargado del tratamiento, también deberá

prever las medidas del nivel determinado para cada caso, en relación al tratamiento

propio de los datos, más allá que el programa cumpla con las medidas exigibles.


37

Medidas de seguridad comunes a todos los ficheros:

4.1 Acceso a los datos a través de redes de telecomunicaciones

Los accesos a datos a través de redes de comunicaciones tendrán que

garantizar un nivel de seguridad equivalente al correspondiente a los accesos

realizados de forma local.

4.2 Régimen de trabajo fuera de los locales de la ubicación de los ficheros

La ejecución de tratamientos de datos de carácter personal fuera de los locales

de la ubicación de los ficheros tendrá que ser autorizado expresamente por el

Responsable de los Ficheros y, en cualquier caso, habrá que garantizarse el nivel de

seguridad correspondiente al tipo de fichero tratado.

4.3 Ficheros temporales

Los ficheros temporales tendrán que cumplir el nivel de seguridad que les

corresponda. Cualquier fichero temporal será borrado una vez que haya dejado de ser

necesario para las finalidades que motivaron su creación. De forma periódica se

procederá a revisar los servidores con la finalidad de asegurar la adecuada

destrucción de los ficheros temporales en desuso.


38

Medidas de seguridad para ficheros que exigen un nivel de seguridad básico:

Los ficheros que trata automatizadamente la Compañía y que, según la

legislación en vigor, exigen un nivel de seguridad básico9, aplicarán las siguientes

medidas de seguridad:

4.4 Identificación10 y autenticación11

El sistema escogido por la Compañía para controlar el acceso a los ficheros

con datos personales es a través de contraseñas12 o passwords.

El encargado de crear y distribuir las contraseñas, será el Responsable de

Seguridad o el Administrador de la Red.

Durante la vigencia de una serie de contraseñas, la Compañía las almacenará

de forma que sean ininteligibles, garantizando así la seguridad de los accesos a los

ficheros con datos personales.

Las personas que para desarrollar sus funciones, dispongan de contraseñas

para acceder a los ficheros con datos personales, tienen la obligación de custodiarlas

y de no usarlas fuera de sus funciones profesionales.

Las políticas de gestión de contraseñas son las siguientes:

a) Vigencia máxima de la contraseña: 90 días

b) Vigencia mínima de la contraseña: 75 días

c) Longitud mínima de la contraseña: 8 caracteres

d) Características de complejidad avanzada: habilitada

e) Historial de contraseñas recordadas: 2

9 Ver apartado 2.3 del presente Documento de Seguridad.

10 Procedimiento de reconocimiento de la identidad de los usuarios con permiso de acceso a los ficheros con

datos personales.

11 Procedimiento de comprobación de la identidad de los usuarios.

12 Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser

utilizada por la autenticación de los usuarios.


39

Adicionalmente la Compañía dispone, para los ficheros que exigen niveles de

seguridad medio y alto, de un sistema para identificar y autenticar de forma inequívoca

a las personas con acceso a los ficheros con datos personales, de forma que sólo

puedan acceder las personas que hayan sido previamente autorizadas a estos

efectos. Asimismo la Compañía dispone de sistemas para limitar los intentos

reiterados de entradas no autorizadas a los ficheros con datos de carácter personal.

Bloqueo de cuentas

La Compañía dispone de un sistema para limitar a 3 intentos la posibilidad de realizar accesos no autorizados al sistema.

4.5 Copias de seguridad y recuperación de los datos

A continuación, se indica el sistema de realización de las copias de seguridad,

en función de los distintos centros de trabajo de la Compañía, que en todo caso

revisará cada seis meses, el correcto funcionamiento del sistema que a continuación

se establece.

Los “Tipos de copia de seguridad” utilizados son los siguientes:

• Normal: Realiza copias de seguridad de todos los archivos seleccionados,

independientemente de la configuración del atributo de archivo, y borra el

atributo de archivo de todos los archivos de los que se realizan copias de

seguridad. Si el archivo se modifica más adelante, se establecerá el atributo del

archivo y se indicará que es necesario volver a hacer una copia de seguridad

del mismo.

• Incremental: Está diseñado para crear copias de seguridad de archivos que

han sufrido modificaciones desde la copia de seguridad normal o incremental

más reciente. La presencia del atributo de archivo indica que el archivo se ha

modificado y que únicamente se ha realizado copia de seguridad de los

archivos con este atributo. Cuando se realiza la copia de seguridad de un

archivo, se borra su atributo.


40

Las copias de seguridad incrementales utilizan la mínima cantidad de medios y

también ahorran tiempo, ya que no copian todos los archivos que han sufrido

modificaciones desde la última copia de seguridad completa. Sin embargo, no se

recomienda restaurar un disco, ya que debería cambiar los medios cada día de la

semana.

Por ejemplo: Nosotros realizamos “una copia de seguridad Normal el Sábado

y el Domingo y copias de seguridad Incrementales de Lunes a Viernes”. Si el disco

falla un sábado, tendríamos que restaurar el disco duro con la copia de seguridad del

sábado y, después, completar el proceso de restauración con las copias de seguridad

del lunes al viernes en el orden en que se grabaron.

El “Soporte en el que se almacenan las copias de seguridad realizadas es

un Disco Duro del Servidor”.

a) Oficina de Madrid.

Soportes: 3 Hd de 80 Gb extraíbles.

Procedimiento: Se utiliza un programa de copia, que realiza una copia en local

de los archivos del servidor (incluye los archivos abiertos por usuarios). Una vez

copiados localmente los archivos. Este proceso se realiza semanalmente.

El disco duro se entrega a D. Manuel López que lo guarda en una caja ignifuga

y entrega la copia más antigua.

c) Oficina de Barcelona.

Soportes: Un servidor y dos Hd de 120 Gb extraíbles

Procedimiento: Se utiliza un sistema bat, realiza una copia en local de los

archivos de los distintos servidores. (Incluye los archivos abiertos por usuarios). Una

vez copiados localmente los archivos (incluye el path completo del origen), se

procesan y se genera un archivo zip por cada una de las zonas copiadas.

(Documentación, Código Fuente de aplicaciones, Datos del programa de gestión

(antiguo), etc...). Este proceso se realiza diariamente, y cada viernes se copia el último

archivo generado al disco duro extraíble y se lleva a una caja fuerte. (Xavi V). A la


41

semana siguiente se utiliza el segundo HD y se realiza el mismo procedimiento,

quedando siempre el último Hd utilizado en la caja fuerte.

c) Almacén.

Soporte: CD.

Procedimiento: Diariamente se hace una copia de la base de datos en el

servidor, separada por días. Mensualmente se hace una copia en cd y se entrega a D.

Manuel López, que lo guarda en una caja ignífuga.

d) Servidor Acens Technologies, S.A.

Soportes: 2 Hd de 300 Gb en un servidor

Procedimiento: Se utiliza el programa de copia Veritas, que realiza una copia

en local de los archivos de los servidores (incluye los archivos abiertos por usuarios).

La copia es diaria, conservando solo 4 días. El acceso al servicio de copias de backup

y a las copias solo lo tienen los administradores de la red.

f) Delegaciones

Cada operario se encarga de hacer su propia copia de seguridad.

4.6 Limitación en el uso de datos reales

Las pruebas anteriores a la puesta en marcha o a la introducción de cambios

en los sistemas de información que traten datos de carácter personal, no se realizarán

con datos reales, hasta que estos sistemas dispongan de las medidas de seguridad

adecuadas. En todo caso y como paso previo a las eventuales pruebas, se realizará

una copia de seguridad de la información que pueda verse en riesgo y se dejará

constancia documental de la realización y resultado de las citadas pruebas.


42

Medidas de seguridad para ficheros que exigen un nivel de seguridad alto13:

Los ficheros que trata la Compañía que, según la legislación en vigor, exigen

un nivel de seguridad alto aplicarán, además de las dos medidas anteriormente

indicadas, las siguientes:

4.7 Registro de accesos

La Compañía establece el sistema de registro de accesos a los ficheros con

datos de carácter personal, que retendrá, como mínimo los datos recogidos en el

Anexo VIII del presente Documento de Seguridad.

El Responsable de Seguridad es la persona encargada de controlar este

sistema de registro de accesos; tendrá la obligación de revisarlo periódicamente y de

elaborar un informe mensual donde analice las revisiones llevadas a cabo e informe de

los problemas detectados, en caso de que hayan aparecido.

El sistema de Registro de accesos deberá tener, al menos, las siguientes

características:

a) Imposibilidad de ser desactivado.

b) En caso de que autorice una entrada a los ficheros, será preciso que

permita identificar el registro accedido.

4.8 Auditorías periódicas14

La Compañía realizará cada dos años o siempre que se realicen

modificaciones sustanciales de los sistemas de información, una auditoría de los

sistemas de información que albergan datos de carácter personal que exigen un nivel

de seguridad alto, con el objetivo de analizar su adecuación con las medidas de

seguridad establecidas en este Documento de Seguridad. La auditoría podrá ser

realizada por un órgano interno de la empresa o por una empresa externa, en

13 Ver apartado 2.3. del presente Documento de Seguridad. Medida de seguridad también aplicable a los

datos que exigen un nivel medio de seguridad.

14 Esta medida de seguridad es también exigible para los ficheros que exigen nivel de seguridad medio.


43

cualquier caso deberá garantizarse la profesionalidad y la independencia de este

órgano o empresa con respecto al titular de los ficheros.

El informe de auditoría tendrá, como mínimo el siguiente contenido:

a) Adecuación o no de las medidas de seguridad a este Documento de

Seguridad.

b) Identificar deficiencias de los sistemas de información de la Compañía.

c) Proponer medidas correctoras.

d) Documentación que ratifique el informe.

El informe será analizado por el Responsable de Seguridad que lo elevará al

Responsable de los Ficheros que, al mismo tiempo, tendrá que implementar las

medidas propuestas y depositar el citado informe en la Agencia de Española

Protección de Datos.

Los citados informes de auditorías se incluirán en el anexo XII.

4.9 Redes de telecomunicaciones

La transmisión de datos personales a través de redes de telecomunicaciones,

se realizará cifrando estos datos o mediante cualquier otro sistema que garantice la

integridad y la confidencialidad de la información transmitida.


44

4.10 Resumen de medidas de seguridad

El siguiente cuadro recoge las distintas medidas de seguridad diferenciando en

función de si deben ser establecidas a nivel del propio programa (cualquiera de los

que usa o comercializa la Compañía) o en el uso que se hace posteriormente de los

mismos.

Medida de Seguridad Nivel del

Seguridad

Ámbito de actuación

Acceso a datos a través de redes de

telecomunicaciones (ver 4.1.)

Básico Tratamiento

Trabajo fuera oficinas (ver 4.2.) Básico Tratamiento

Ficheros temporales (ver 4.3.) Básico Tratamiento

Identificación y autenticación (ver 4.4.) Básico Programa

Identificación y autenticación reforzada (ver 4.4. in

fine)

Básico medio

Alto

Programa

Copias de Seguridad (ver 4.5.) Básico Tratamiento

Gestión de soportes (ver 2.4.2. in fine) Básico medio

Alto

Tratamiento

Registro de accesos (ver 4.6.) Alto Programa

Auditorías periódicas (ver 4.7.) Medio

Alto

Tratamiento

Limitación datos reales (ver 4.8.) Alto Tratamiento

Transmisión de datos a través de redes de

telecomunicaciones (ver 4.9.)

Alto Tratamiento/Programa


45

5 INCIDENCIAS EN RELACIÓN A LOS FICHEROS

La Compañía mantendrá un registro actualizado de las incidencias que

sucedan en relación a los ficheros con datos personales. Esta medida de seguridad se

aplicará a todos los ficheros de la Compañía. También a los que trata como encargado

del tratamiento si mantiene copias de esos datos.

En caso de incidencias, para llevar a cabo los procedimientos de recuperación

de datos, será necesaria la autorización por escrito del Responsable de Seguridad. El

Anexo IX de este Documento de Seguridad recoge una hoja de incidencias que

deberá cumplimentarse en caso de que éstas se produzcan. En cualquier caso

además del mencionado registro, la Compañía procurará documentar las hipotéticas

incidencias de la forma más completa posible.

En cualquier caso el procedimiento de notificación, gestión y respuesta de

incidencias consta de las siguientes fases:

1. Detección de la incidencia.

El usuario tiene conocimiento o detecta cualquier anomalía que afecta a los

datos personales ubicados en los ficheros de los que la Compañía es responsable o

encargada del tratamiento.

2. Notificación de la incidencia.

El usuario deberá informar de la incidencia al Responsable de Seguridad o, en

su caso, al responsable de su departamento, utilizando, en todo caso la hoja de

incidencia recogida en el presente Documento de Seguridad.

3. Registro de la incidencia.

Una vez recibida la incidencia por el Responsable de Seguridad, éste la

introducirá en una base de datos en una carpeta de red con accesos limitados, de

forma que se facilite su clasificación, la administración de las ya resueltas, a efectos de

ayudar el diagnóstico y posterior resolución de la que estuviera en curso.

4. Análisis y diagnóstico.

Definición y ejecución de la acción correctora por parte del Responsable de

Seguridad.


46

5. Documentación y cierre de la acción correctora.

Solucionada la incidencia, la forma de resolución deberá quedar registrada en

la base de datos creada al efecto. Posteriormente se informará de la resolución de la

incidencia a quien la detectó así como a cualquier otra persona de la Compañía que

pudiera haber estado involucrada en la misma.

6. Clasificación de la incidencia.

Todas las incidencias resueltas, serán clasificadas a efectos de una mejor

resolución de las próximas.

A continuación se incluye un listado de las incidencias más habituales, que no

significa que sean las únicas:

a) La caída del sistema de seguridad informática, por cualquier causa, que

posibilite el acceso a los datos personales por personas no autorizadas.

b) El intento no autorizado de salida de un soporte (por ejemplo soporte con la

copia de seguridad).

c) La destrucción total o parcial del soporte físico donde se encuentren los

datos personales.

d) El cambio de ubicación física de los ficheros responsabilidad de la

Compañía.

e) Los intentos de acceso no autorizados o denegados a los ficheros

responsabilidad de la Compañía.

f) Conocimiento por terceros del identificador de usuario o clave de acceso al

sistema.

g) Modificación de datos por personal no autorizado o desconocido.

h) Pérdida de información.

i) Existencia de sistemas de información sin las debidas medidas de

seguridad.


47

6 TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS

Como se ha indicado en el apartado dedicado a las medidas de seguridad, en

el ejercicio de sus actividades profesionales la Compañía trata por cuenta de sus

clientes datos de carácter personal titularidad de éstos. Teniendo en cuenta estas

consideraciones debemos señalar dos aspectos relevantes:

a) El obligado de inscribir los ficheros donde se ubican estos datos ante el

Registro General de la Agencia Española de Protección de Datos son en

todo caso, los clientes de la Compañía. Ésta tendrá la consideración de

encargada del tratamiento según lo que se desprende de la normativa en

vigor en materia de protección de datos de carácter personal.

b) La Compañía ha hecho firmar a todos a los clientes que le han encargado

el tratamiento de sus datos, el contrato previsto en el artículo 12 de la

LOPD, donde ha establecido las finalidades y los límites de este

tratamiento, en función de la prestación de servicio de que se trate.

Asimismo, y en cumplimiento con lo establecido en el artículo 82.2 del RLOPD,

la Compañía hace constar que la lista de sus Clientes, Responsables de Ficheros, a

los que la Compañía presta un servicio en calidad de Encargada del Tratamiento, se

encuentra actualizada y referenciada en el Programa Logic Class, utilizado para la

gestión del fichero maestro de Clientes de la Compañía, como se referencia en el

punto 2.3.1 de este Documento de Seguridad.


48

ANEXOS AL DOCUMENTO DE SEGURIDAD

COSPA-AGILMIC, S.L.U.


49

ANEXOS

I. IMPRESIONES PANTALLAS DE PROGRAMAS UTILIZADOS POR LA COMPAÑÍA.

II. ENCARGADOS DEL TRATAMIENTO.

III. PROGRAMAS DE TRATAMIENTO DE LOS DATOS.

IV. SOPORTES DE TRATAMIENTO DE LOS DATOS.

V. EQUIPOS DE TRATAMIENTO DE LOS DATOS Y ESTRUCTURA DE LA RED DE LA COMPAÑÍA.

VI. DECLARACIÓN PERSONAL INTERNO DE LA COMPAÑÍA.

VII. PERSONAS CON ACCESO A LOS DATOS.

VIII. REGISTRO DE ACCESOS.

IX. REGISTRO DE INCIDENCIAS.

X. LISTA DE PERSONAL AUTORIZADO A ACCEDER A LOCALES CON SOPORTES Y SITEMAS INFORMÁTICOS.

XI. MARCO NORMATIVO COMUNICACIONES COMERCIALES ELECTRÓNICAS.

XII. INFORMES DE AUDITORÍAS.

XIII. CLOUD PRIVADO

XIV. MANUAL LOPD DE ALEXIA


50

XV. TRANSFERENCIA INTERNACIONAL DE DATOS DEL PROGRAMA SophiA

XVI. PROTOCOLO DE ACTUACIÓN GRABACIONES TELEFÓNICAS


51

ANEXO I

Se incluyen impresiones de pantallas (donde se incluyen datos personales) de programas utilizados por la Compañía

Programa ALEXIA

ALUMNOS

Datos generales del alumno


52

Datos Dirección del alumno

Datos médicos del alumno


53

En la pesataña de datos libres, también se podrán configurar datos que requieran un nivel de protección alto. Esta pantalla muestra la ficha para crear un dato libre.

Ejemplo de datos libre con nivel de protección alto.


54

Datos de nacimiento y nacionalidad del alumno. FAMÍLIAS: padres - tutores

Datos generales de la familia.


55

Datos generales del tutor.

Más datos de caràcter personal del tutor


56

Datos de contacto del tutor TITULARES

Datos generales del titular


57

Datos de contacto del titular TRABAJADORES

Datos generales del trabajador


58

Datos de contacto del trabajador

Datos de naciomiento del trabajador


59

Datos académicos del trabajador

Datos curso escolar del trabajador


60

FACTURACIÓN


61

PANTALLAS

DE

LOGIC CLASS


62


63


64


65


66


67


68


69


70


71


72


73

PANTALLAS

DE

INTERNO


74


75

ANEXO II

Prestadores de servicio con acceso a datos (Encargados de tratamiento)

Proveedor Ficheros a los que accede Servicio prestado Fecha firma contrato

Deconsa, S.L. Económicos y fiscales Asesoría contable 01-06-2006

Ad hoc Asesores Legales, S.L.

Personal Asesoría laboral 10-03-2010

Tomás Menéndez Guerra

Alumnos Grabación de datos 30-06-2006

Esfera Legal Advocats, S.L.P.

Clientes Servicios de protección de datos

01-04-2013

BGT Auditores, S.L. Económicos y fiscales Auditoría de cuentas 17-12-2007

Sol. Dig. Tecnológicas, S.L.

Clientes Acuerdo comercial 02-06-2010

Pymesoft Valles, S.L. Clientes Servicios consultoría 18-06-2008

Multicon Acens Technologies S.A. (confidencialidad)

Pers. – clis. – prov. Infraestructura tecnológica

18-04-2011

Servicio Multicon Acens Technologies S.A.

(Condiciones particulares)

Pers. – clis. – prov. Infraestructura tecnológica

18-04-2011

Destrucción Confidencial de Documentación S.A.

Econ.-clis.-prov.-pers. Destrucción de documentos

30-09-2009

Acens Technologies, S.A.

(Housing)

Alumnos Infraestructura tecnológica

01-04-2011


76

Sage Logic Control Clientes Programa de gestión de clientes

10-04-2007

Acens Technologies, S.A.

(Cloud privado)

Alumnos Infraestructura tecnológica

01-04-2011

Evolución 21 Personal Formación 30-10-2010

Retesa Nuevas Tecnologías S.L.

Clientes Instalación y mantenimiento

27/11/2009

Logística Sanz Navarro S.L.

Clientes Logística 01-04-2008

TNT Proveedores-Clientes Logística 02-02-2006

Correos Proveedores-Clientes Logística 01-01-2009

Código Express Courier, S.L.

Proveedores-Clientes Logística 30-06-2008

Tic Educación, S.L: Clientes Colaboración comercial 14/06/2011

Opportunity Servicios Auxiliares

Clientes Logística 01/12/2009

Natura Activa. SCP Clientes, Proveedores, Trabajadores

Destrucción de documentación

01/06/2011

BCN Media Forum, S.L. Clientes Distribución de productos 09-03-2011

Talento y Tecnología Soluciones, S.L.

Clientes, Proveedores, Trabajadores

Desarrollo de software 27-09-2010

Dominion Tecnologías, S.L.U.

Clientes Colaboración comercial 16-06-2010

Development Systems, S.A.

Clientes Consultoría comercial 18-01-2010

Dataeraser, S.L. Clientes, Proveedores, Trabajadores

Destrucción de documentación

03-08-2011


77

AnSiB Net Solutions, S.L.

Clientes y Trabajadores Consultora de voz y datos 10-06-2014

OTBINNOVA Creative Thinking, S.L.L.

Clientes Desarrollo y consultoría TIC

12-08-2011

Centro Europeo de Formación Ausiás

March

Trabajadores Formación 24-12-2010

Gesorta Experiencies of Management, S.L.

04-05-2012

EDUQATIA Investigación y

Certificación, SA

Clientes Asesoría Alexia 25-06-2012

The Rocket Science Group, LLC

Clientes, Proveedores, Trabajadores

Mail Chimp Puerto seguro EUA

OASIS TECHNOLOGICS, S.L.

Clientes Instalación y Mantenimiento

02-01-2014

Prestadores de servicios sin acceso a datos

Proveedor Servicio prestado Fecha firma contrato

Selimco Ibérica, S.A. Limpieza 01-05-2008

Cia. Gral. de Servicios de Garvi, SL

Limpieza 17-04-2007


78

ANEXO III

Programas de tratamiento de los datos

La Compañía utiliza los siguientes programas para archivar y tratar datos de carácter personal:

Ficheros que la Compañía trata como responsable:

Programas Arquitectura Descripción

LOGIC CONTROL (CLASS)

Cliente -Servidor Aplicación ERP de Cospa & Agilmic.S.L.U. (Gestión de clientes, distribuidores, contable,

etc.)

Ficheros que la Compañía trata como encargado del tratamiento:

Programas Arquitectura Descripción

SIGMA Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)

AMIC Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)

ALEXIA Local Aplicación para la gestión integral de centros educativos (Documentación oficial, boletines, recibos, etc.)

ORION Local Aplicación que permite la corrección de tests e impresión de informes.

LIBERMARC Local Aplicación para la gestión de bibliotecas (préstamos, catalogación, pedidos, publicaciones periódicas, etc.)

ASESOR Local Aplicación de gestión contable.

VIA EDUCATIVA

Web Aplicación Web para la comunicación con los padres, alumnos y profesores. Proporciona herramientas para los profesores (poner notas, enviar observaciones, etc.)


79

AMIWEB Web Aplicación Web para la comunicación con los padres, alumnos y profesores. Proporciona herramientas para los profesores (poner notas, enviar observaciones, etc.)

VIA CULTURAL

Web Aplicación Web que permite a las bibliotecas la publicación en Internet de su catálogo de libros.

SOPHIA Web Aplicación para la gestión de bibliotecas (préstamos, catalogación, pedidos, publicaciones periódicas, etc.)


80

ANEXO IV

Soportes de tratamiento de los datos

Listado de soportes:

Tipo de Soporte Número de Identificación Contenido

3 HD 80 Gb extraíbles (Madrid)

CS 1/ CS 2/ CS 3 Copias de Seguridad

2 HD 120 Gb extraíbles (Barcelona)

CS 1/ CS 2 Copias de Seguridad

2 HD 300 Gb (Acens) CS 1/ CS 2 Copias de Seguridad

1 CD (Almacén) CS 1 Copias de Seguridad

El Responsable de los Ficheros mantendrá un Registro de Entradas y Salidas de soportes que alojen datos de nivel medio o alto que contendrá como mínimo, los siguientes registros:

Registro de entradas y salidas de Soportes:

Entrada/Salida Fecha Hora Emisor Nº

soportes Contenido

Forma envío

Receptor


81

ANEXO V

Equipos de tratamiento de los datos y estructura de la red de la Compañía


82


83

La Compañía utiliza los siguientes equipos para tratar los datos de carácter

personal y están distribuidos en red de la forma que a continuación se incluye:

Madrid:


84


85

Acens:


86

Acens 2


87

Cloud híbrido C&A


88

Delegaciones:


89

Almacén Madrid:


90

ANEXO VI

Declaración personal interno de la Compañía

D. , con DNI. , el cual está unido por una relación laboral con COSPA-AGILMIC, S.L.U., en el ejercicio de sus funciones accederá y tratará datos ubicados en ficheros de los cuales la mencionada Compañía es responsable o encargada del tratamiento, según lo que indica la normativa en vigor en materia de protección de datos de carácter personal,

DECLARA

I. Que se compromete a guardar la confidencialidad sobre los datos que conozca en ejercicio de sus funciones. Asimismo únicamente accederá a los datos por motivos o finalidades que se desprendan de sus funciones y obligaciones laborales, reconociendo que la propiedad legal e intelectual de todos ellos, pertenece a COSPA & AGILMIC, S.L.U.

II. Que con el fin de acceder a los ficheros dispone de una contraseña personal e intransferible. En todo caso deberá mantener la mencionada contraseña bajo su control y en caso que sospechara que un tercero no autorizado ha tenido acceso a la misma así tendría que comunicarlo al Responsable de Seguridad. En ningún caso utilizará la contraseña para acceder a los ficheros fuera de las oficinas de COSPA-AGILMIC, S.L.U., sin el consentimiento expreso de dicha Compañía.

III. Que en ningún caso accederá a los ficheros con facultades superiores a las indicadas en el Documento de Seguridad elaborado e implementado por los responsables designados al efecto por COSPA & AGILMIC, S.L.U.

IV. Que cuando los datos que utilice para el desempeño de sus funciones, estén en soporte papel u otro soporte material, los almacenará en armarios o cajones debidamente cerrados con llave. Así mismo se asegurará de su completa destrucción una vez estos ficheros hayan dejado de servir a la finalidad por la que fueron creados.

V. Que comunicará cualquier incidencia en relación a la utilización de los datos personales, según el procedimiento señalado en el Documento de Seguridad de COSPA-AGILMIC, S.L.U.


91

VI. Que mediante la firma de este documento reconoce que ha sido informado de sus obligaciones en relación a los datos de carácter personal, dando así por cumplido lo que indica el artículo 89.2 del Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal.

VII. Que ha entregado sus propios datos personales a COSPA-AGILMIC, S.L.U. con el objetivo de establecer y gestionar la relación laboral que le une en ésta.

VIII. Que mediante la firma de este documento reconoce que se le ha informado que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la calle Bravo Murillo, 377, 6ª Planta de Madrid.

IX. Que únicamente utilizará los medios técnicos que COSPA-AGILMIC, S.L.U., le pone a su disposición, para finalidades profesionales. En concreto no hará uso del correo electrónico, del acceso a Internet y del Ordenador que se le facilita, para finalidades personales y privadas en un grado de abuso que vulnere la buena fe contractual.

X. Que consiente que los representantes de COSPA-AGILMIC, S.L.U. controlen el uso que realiza de los medios técnicos que le ha facilitado, siempre que la compañía disponga de argumentos objetivos para sospechar que ha vulnerado lo que dispone el punto anterior de este documento y utilice los medios idóneos, necesarios y proporcionales para investigar la citada vulneración.

En Madrid, a de de

D. José Luis Ruiz Aguilar


92

D. José Luis Ruiz Aguilar, con DNI 798.552-S, en nombre y representación de la sociedad COSPA-AGILMIC, S.L.U., en calidad de Apoderado,

AUTORIZA

A D. , con DNI. , como empleado de COSPA-AGILMIC, S.L.U. a utilizar fuera de las oficinas y fuera de su horario laboral, las claves de acceso del ordenador a través del cual desempeña también su trabajo en horario de oficina, que le han sido entregadas, en relación a su categoría profesional, por COSPA-AGILMIC, S.L.U.

Asimismo, y en cumplimiento de la Ley 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal y del pacto de Confidencialidad firmado en fecha de de , se le autoriza a extraer ficheros de la empresa, los cuales obran en poder de COSPA-AGILMIC, S.L.U. como encargada del fichero, únicamente para el cumplimiento estricto de las finalidades que le han sido encargadas por el titular del Fichero que las ha facilitado.

Y para que así conste, se firma la presente autorización en Madrid, a de de .



93

Personas con autorización para sacar datos de la empresa:

Pedro Fernández Henche

Eduardo Gala Sánchez

Juan Carlos García Calderón

Manuel López Álvaro

Natalia Matarranz Salinas

Emilio Mochales Monge

Pedro Luis Rico Ortega

Antonio Yagüe Amo

Antonio García Fernández

Iván González San José

Roberto Cosío Pruneda

Soraya López Bernardez

Pedro Minguela Velasco

Juan Manuel Bañuelos

Antonio Diaz Ramos

Borja de Temple Jové

Fco. Javier Gutiérrez Badorrey

Josep Anton Pérez Cañas


94

ANEXO VII

Personal con acceso a los datos

ACCESO DE USUARIOS AL SERVIDOR DE FICHEROS COSPANET Y A

LOS PROGRAMAS

Incluye:

1- Acceso de usuarios a las recursos de la red ubicados en el servidor Cospanet (Servidor de ficheros):

a. Carpetas individuales. b. Carpetas departamentales. c. Carpetas públicas.

2- Acceso de usuarios a programas usados.

1- ACCESO A RECURSOS DE RED Entendemos por recursos de red, aquellas carpetas creadas en el servidor que contendrán datos de trabajo de los diferentes usuarios de la empresa. Para controlar los accesos a estos recursos, se han establecido diferentes grupos de trabajo pertenecientes al dominio, y a los que pertenecen los usuarios, en función al departamento que les corresponda o funciones que realizan. Estrategias de Uso de Grupos En A G DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos locales de dominio (DL) y, a continuación, se conceden permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce el número de veces que se deben definir los permisos. Se utiliza A G DL P para un bosque formado por uno o varios dominios, ya que permite que se puedan agregar futuros dominios. A G DL P tiene las siguientes ventajas:


95

• Los dominios son flexibles. • Los propietarios de los recursos necesitan menos acceso a Active Directory

para proteger de forma flexible sus recursos. A G DL P tiene la siguiente desventaja:

• Una estructura de administración por niveles es más compleja de configurar al principio, pero, con el tiempo, es más fácil de administrar.

La estrategia de uso de grupos utilizada para el dominio “cospa.local” es “A G DL P” Cuentas de usuario �� Grupos globales �� Grupos locales de dominio Permisos

(A) (G) (DL) (P)


96

Listado de empleados, ficheros a los que acceden y nivel de acceso.

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación ACHA MARTIN, M TERESA Clientes - Alumnos Total MADRID

ALARCON FERNANDEZ, MERCEDES Clientes - Alumnos " MADRID

ARCONADA MUÑOZ, JAVIER Clientes " MADRID

ARNEDO GARCIA, BERNARDO Clientes - Alumnos " MADRID

ARRANZ FRUTOS, M INMACULA Clientes - Proveedores " MADRID

CABALLERO RODRIGUEZ, ANA MARIA Clientes - Alumnos " MADRID

CACHO SANZ, JAVIER Clientes " MADRID

CASTILLO SANZ, MARIA ROSA -------- -------- MADRID

CAVERO TORREJON, PEDRO LUIS Clientes - Alumnos Total MADRID

COSIO PRUNEDA, ROBERTO Todos “ MADRID

DIAZ CASTRO, DAVID Alumnos " MADRID

DIEGUEZ GARCIA, SONIA Clientes - Proveedores " MADRID

DOMINGO DOMINGUEZ, VERONICA Clientes - Alumnos " MADRID

ENCINAS GARCIA, FCO JAVIER Clientes - Alumnos " MADRID

FERNANDEZ HENCHE, PEDRO Clientes - Proveedores " MADRID

FERNANDEZ LOPEZ, ALBERTO Alumnos " MADRID

FERNÁNDEZ-VEGA FIGUEROA, OSMAR A. Clientes - Proveedores " MADRID

GALA SANCHEZ, EDUARDO Clientes - Económicos " MADRID

GARCIA BAÑOS, BEATRIZ Clientes - Alumnos " MADRID

GARCIA CALDERON, J.CARLOS Todos “ MADRID

GARCIA-ARISTA DELGADO, ALFONSO Alumnos " MADRID

GONZALEZ SAN JOSE, IVAN Todos “ MADRID

GUEVARA NAVAS, EVELYN Alumnos Total MADRID

GUTIERREZ BADORREY, Fº JAVIER Clientes - Prov. - Econom. - Fisc. " MADRID


97

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación JODRA SANCHEZ, OSCAR Clientes " MADRID

LOPEZ ALVARO, MANUEL Clientes - Prov. - Econom. - Fisc. " MADRID

LOPEZ BERNARDEZ, SORAYA Clientes " MADRID

LOPEZ, ALBERTO Alumnos “ MADRID

LORITE DOÑA, JAVIER Clientes - Alumnos " MADRID

MARTIN TEJEDA, VALENTIN Alumnos " MADRID

MARTIN PEREZ-CARRION, CRISTIAN Clientes - Proveedores " MADRID

MATARRANZ SALINAS,NATALIA Clientes " MADRID

MINGUELA VELASCO, PEDRO Clientes " MADRID

MOCHALES MONGE, EMILIO Clientes " MADRID

OCAÑA GUTIERREZ, PALOMA Clientes - Económicos " MADRID

OLALDE GUTIERREZ, YOLANDA Clientes - Alumnos " MADRID

PADILLA MELERO, JAVIER ALF Alumnos " MADRID

PINZAS MONTENEGRO, JOSE M. Alumnos " MADRID

PLA ALVAREZ, EVA Clientes - Alumnos " MADRID

PORTELA PUCHE, PABLO Alumnos " MADRID

REGALIZA SILVA, MANUEL Clientes - Proveedores " MADRID

REYES CORDERO, TANIA Clientes - Alumnos " MADRID

RICO ORTEGA, PEDRO LUIS Clientes " MADRID

RÍO FERNÁNDEZ, JOSE LUIS Alumnos " MADRID

RODRIGUEZ PRADA, DAVID Alumnos " MADRID

RODRIGUEZ RODRIGUEZ, BENIGNO Clientes - Alumnos " MADRID

RUBIO HUALDE, M DOLORES Clientes - Prov. - Econom. " MADRID

RUIZ AGUILAR, JOSÉ LUIS Clientes - Prov. - Econom. - Fisc. " MADRID

RUIZ ORTEGA, TAMARA Clientes - Prov. - Econom. - Fisc. Total MADRID

SOBRINO EXPÓSITO, ÁNGEL Clientes " MADRID


98

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación TAPIA SANCHEZ, JORGE Clientes - Alumnos " MADRID

TAPIA CASTRO, CARMEN Clientes - Proveedores " MADRID

TORRIJOS MOLINA, JULIAN Clientes - Alumnos " MADRID

VARGAS HORMEÑO, M TERESA Clientes - Alumnos " MADRID

VAZQUEZ HERNANDEZ, ALBA Clientes - Alumnos " MADRID

VERCELLI FRIAS, ALFREDO Clientes - Prov. - Econom. - Fisc. " MADRID

YAGÜE AMO, ANTONIO Clientes " MADRID

ZULUETA RODRIGUEZ, M DEL MAR Clientes " MADRID

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación

BENITO NAVARRO, YOLANDA Clientes - Alumnos Total BARCELONA

CANO AGUILA, SUSANA CR. Clientes - Alumnos " BARCELONA

CANOVAS LORENZO, RICARDO Clientes - Alumnos " BARCELONA

CAPARRÓS PÁRAMO, JOSEP Clientes - Alumnos " BARCELONA

COLLADO TOMAS, ELVIRA Clientes " BARCELONA

CUBELLS ROCAMORA, XAVIER Clientes " BARCELONA

DE OÑATE BLANCO, HÉCTOR Clientes - Alumnos " BARCELONA

DE TEMPLE JOVE, BORJA Clientes - Alumnos " BARCELONA

FERNANDEZ ESTEVE, Mª CARMEN Clientes " BARCELONA

GALLEGO QUER, CORA Clientes - Alumnos " BARCELONA

GARCIA CAZALILLA, ESTEBAN Clientes " BARCELONA

GIMENEZ MIOTA, THAIS Mª Clientes - Alumnos " BARCELONA

HOSTA PASCUAL, IGNASI Clientes - Alumnos " BARCELONA

LONOCE, ENRICO Alumnos Total BARCELONA

MIRANDA ZAMBRANA, AARÓN Alumnos " BARCELONA

MOLAS VALIOS, JESUS Clientes - Alumnos " BARCELONA


99

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación MUNNE AYZA, JOAQUIM Clientes - Alumnos " BARCELONA

NARANJO NIELFA, YOLANDA Clientes " BARCELONA

PALACIO OÑATE, JOSE JAVIER Clientes - Alumnos " BARCELONA

PEREZ CAÑAS, JOS. ANTON Clientes - Alumnos " BARCELONA

PERTUSA PASTOR, RAMÓN Alumnos " BARCELONA

PONCE GARCIA, ESTANISLAO Alumnos " BARCELONA

PRIETO GONZALEZ, CRISTINA Clientes - Alumnos " BARCELONA

RIBAS MARTI, GEMMA Clientes " BARCELONA

RUIZ SALAZAR, Mª CARMEN Clientes - Alumnos " BARCELONA

SAAVEDRA MATEU, JOAN Alumnos " BARCELONA

SALES SERRA, JOSE RAMON Clientes - Alumnos " BARCELONA

SANTAMARIA HERNANDEZ, PILAR Clientes - Alumnos " BARCELONA

SOLE PRATS, FERRAN Clientes - Alumnos " BARCELONA

UBED ESTEVE, JOSEP ANTONI Clientes " BARCELONA

VALLS GUILERA, FCO XAVIER Alumnos " BARCELONA

VILLAMARIN SAEZ, OSCAR Alumnos " BARCELONA


RODRIGUEZ VIVO, JESÚS Clientes Total VALENCIA


DIAZ RAMOS, ANTONIO Clientes Total SEVILLA

LEON MARIN, MIGUEL Clientes Total SEVILLA


BAÑUELOS CERRILLO, JUAN MANUEL Clientes Total BILBAO


100

Nombre empleado Ficheros a los que accede Nivel de acceso Delegación PECO GARCIA, GERMAN Clientes - Alumnos " BILBAO

MERINO PEREZ, ELENA Clientes " BILBAO


CABRERO GOMEZ, ALFREDO Clientes - Alumnos Total VALLADOLID

GARCIA FERNANDEZ, ANTONIO Clientes " VALLADOLID

ALVAREZ ALVAREZ, JAIRO Clientes " VALLADOLID

SALAS HERNAIZ, Mª DOLORES Clientes " VALLADOLID


101

Servidor De Ficheros Recursos Compartidos Nombre recurso Ruta carpeta Tipo N. Descripción

Acceso a los Recursos Compartidos Publico Recurso compartido para los todos los Usuarios de la Empresa. Ruta de acceso a la carpeta: D:\Publico. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta no se realiza copia de seguridad. Permisos de recurso compartido:

Usuario/Grupo Permisos Permitir Denegar Control Total � Cambiar � Administradores Leer �

Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Empleados.Madrid Leer �


102

Seguridad:

Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �

Administradores

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �

DL.Empleados.Madrid

Permisos Especiales

Administración

Recurso compartido para los Usuarios del Departamento de Administración.

Ruta de acceso a la carpeta: E:\Administracion. Limite de usuarios: Máximo permitido.

No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de

seguridad.

Permisos de recurso compartido:


Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Administracion Leer �


103

Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.Produccion Leer �

Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar Operadores de Copia Leer �

Seguridad:


Administradores

Permisos Especiales


DL.Administracion

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución Mostrar el contenido de la carpeta � Leer � Escribir

DL.Produccion

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar


104

Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir

Operadores de Copia

Permisos Especiales Asesoría Recurso compartido para los Usuarios del Departamento de Asesoría. Ruta de acceso a la carpeta: D:\Asesoria. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Asesoria Leer �


Control Total Cambiar Operadores de Copia Leer �

Seguridad:


Administradores

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta �

DL.Asesoria

Leer �


105

Escribir � Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir

Operadores de Copia

Permisos Especiales Comercial Recurso compartido para los Usuarios del Departamento Comercial. Ruta de acceso a la carpeta: D:\Comercial. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Comercial.AET Leer �


Control Total Cambiar � DL.Comercial.Educacion Leer �



Seguridad:

Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución �

Administradores

Mostrar el contenido de la carpeta �


106

Leer � Escribir � Permisos Especiales


DL.Comercial.AET

Permisos Especiales


DL.Comercial.Educacion

Permisos Especiales


Operadores de Copia

Permisos Especiales Dirección Recurso compartido para los Usuarios del Departamento de Dirección. Ruta de acceso a la carpeta: D:\Direccion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



DL.Direccion Control Total


107

Cambiar � Leer �


Seguridad:


Administradores

Permisos Especiales


DL.Direccion

Permisos Especiales


Operadores de Copia

Permisos Especiales

Marketing Recurso compartido para los Usuarios del Departamento de Marketing. Ruta de acceso a la carpeta: E:\Marketing. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad.


108




Control Total Cambiar � DL.Marketing Leer �



Seguridad:


Administradores

Permisos Especiales


DL.Marketing

Permisos Especiales


Operadores de Copia

Permisos Especiales


109

Orientación Recurso compartido para los Usuarios del Departamento de Orientación. Ruta de acceso a la carpeta: E:\Orientacion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Orientacion Leer �



Seguridad:


Administradores

Permisos Especiales


DL.Orientacion

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar

Operadores de Copia

Lectura y ejecución �


110

Mostrar el contenido de la carpeta � Leer � Escribir Permisos Especiales

Producción Recurso compartido para los Usuarios del Departamento de Producción. Ruta de acceso a la carpeta: E:\Produccion. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Produccion Leer �



Seguridad:


Administradores

Permisos Especiales


DL.Produccion

Permisos Especiales


111


Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir

Operadores de Copia

Permisos Especiales Programación Recurso compartido para los Usuarios del Departamento de Programación. Ruta de acceso a la carpeta: D:\Prog. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.App.Asesor Leer �


Control Total Cambiar � DL.App.LiberMarc Leer �


Control Total Cambiar � DL.App.Lola Leer �


Control Total Cambiar � DL.Programacion Leer �

Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.SAE Leer �


112



Seguridad:


Administradores

Permisos Especiales


DL.App.Asesor

Permisos Especiales


DL.App.LiberMarc

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución � Mostrar el contenido de la carpeta �

DL.App.Alexia

Leer �


113

Escribir Permisos Especiales


Control Total Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta � Leer � Escribir �

DL.Programacion

Permisos Especiales


DL.SAE

Permisos Especiales


Operadores de Copia

Permisos Especiales

SAE

Recurso compartido para los Usuarios del Departamento de CTE. Ruta de acceso a la carpeta: E:\SAE Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:




114

Control Total Cambiar � DL.SAE Leer �


Seguridad:


Administradores

Permisos Especiales


DL.SAE

Permisos Especiales


Operadores de Copia

Permisos Especiales

SAT Recurso compartido para los Usuarios del Departamento de SAT. Ruta de acceso a la carpeta: E:\SAT. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad.


115



Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.SAT Leer �


Seguridad:


Administradores

Permisos Especiales


DL.SAT

Permisos Especiales

Usuario/Grupo Permisos Permitir Denegar Control Total Modificar Lectura y ejecución �

Operadores de Copia

Mostrar el contenido de la carpeta �


116

Leer � Escribir Permisos Especiales

Sistemas Recurso compartido para los Usuarios del Departamento de Sistemas. Ruta de acceso a la carpeta: E:\Sistemas. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:


Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar � DL.Sistemas Leer �

Usuario/Grupo Permisos Permitir Denegar Control Total Cambiar DL.SAT Leer �


Seguridad:


Administradores

Permisos Especiales


117


DL.Sistemas

Permisos Especiales


DL.SAT

Permisos Especiales


Operadores de Copia

Permisos Especiales

Usuarios Recurso compartido para los Usuarios de la Empresa. Ruta de acceso a la carpeta: E:\Usuarios. Dentro de esta carpeta existe una carpeta por Cada Uno De Los Usuarios De La Empresa. Ruta de acceso a la carpeta: E:\Usuarios\<Nombre_Usuario>. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido E:\Usuarios:


Usuario/Grupo Permisos Permitir Denegar Usuarios Autentificados Control Total


118

Cambiar � Leer �


Seguridad de E:\Usuarios:


Administradores

Permisos Especiales


Operadores de Copia

Permisos Especiales


Usuarios Autentificados

Permisos Especiales Seguridad de E:\Usuarios\<Nombre_Usuario>:

Usuario/Grupo Permisos Permitir Denegar Control Total � Modificar � Lectura y ejecución � Mostrar el contenido de la carpeta �

Administradores

Leer �


119

Escribir � Permisos Especiales


<Usuario.cospa.local>

Permisos Especiales


Operadores de Copia

Permisos Especiales

RRHH Recurso compartido para los Usuarios del Departamento de Recursos Humanos. Ruta de acceso a la carpeta: E:\RRHH. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.RRHH Leer �




120

Seguridad:


Administradores

Permisos Especiales


DL.RRHH

Permisos Especiales


Operadores de Copia

Permisos Especiales

Comité.Operaciones Recurso compartido para los Usuarios del Comité de Operaciones. Ruta de acceso a la carpeta: E:\Comite.Operaciones. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



121


Control Total Cambiar � DL.Comite.Operaciones Leer �


Control Total Cambiar � DL.SVA Leer �



Seguridad:


Administradores

Permisos Especiales


DL.Comite.Operaciones

Permisos Especiales


DL.SVA

Permisos Especiales


122


Operadores de Copia

Permisos Especiales

Comite.Ventas Recurso compartido para los Usuarios del Comité de Ventas. Ruta de acceso a la carpeta: E:\Comite.Ventas. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Comite.Ventas Leer �



Seguridad:


Administradores

Permisos Especiales


123


DL.Comite.Ventas

Permisos Especiales


Operadores de Copia

Permisos Especiales

Comite.Alexia Recurso compartido para los Usuarios del Comité Alexia. Ruta de acceso a la carpeta: E:\Comite.Alexia. Limite de usuarios: Máximo permitido. No está publicada en el AD. De este recurso compartido o carpeta se realiza copia de seguridad. Permisos de recurso compartido:



Control Total Cambiar � DL.Comite.Alexia Leer �




124

Seguridad:


Administradores

Permisos Especiales


DL.Comite.Alexia

Permisos Especiales


Operadores de Copia

Permisos Especiales


125

2- ACCESO A PROGRAMAS

Programa Datos relacionados Acceso permitido a Logic Class ERP Compañía Se adjunta lista Interno Datos de clientes. Pedidos antiguos,

material y de tests. Empleados de Madrid y delegaciones.

Intranet Datos de clientes y licencias contratadas.

Empleados de Madrid, Barcelona y delegaciones.

Orión Servicio Datos de clientes con servicio de tests contratado.

Dpto. Producción: - Benigno Rodríguez. - Julián Torrijos. - Javier Encinas.

Dpto. Orientación: - Beatriz García.

Sigma Servicio Datos de clientes con servicio de evaluación contratado.

Dpto. Producción: - Benigno Rodríguez. - Julián Torrijos. - Javier Encinas.

Asesor Servicio Datos de clientes con servicio de asesoría contratado.

Dpto. Asesoría: - Pedro Rico. - Emilio Mochales. - Natalia Matarranz. - Soraya López


126

RELACION DE PERSONAL DE COSPA&AGILMIC,S.L. - Logic Class

Personal Dpto. Deleg.

GARCIA CAZALILLA, ESTEBAN ASESOR BAR

ANTONIO GARCÍA FERNÁNDEZ ASESOR VALL

JUAN M. BAÑUELOS CERRILLO ASESOR BIL

ANTONIO DÍAZ RAMOS ASESOR SEV

NATALIA MATARRANZ SALINAS ASESOR MAD

PEDRO LUIS RICO ORTEGA ASESOR SEC

LOPEZ BERNARDEZ, SORAYA ASESOR MAD

ASESOR

EMILIO MOCHALES MONGE ASESOR MAD

DIEGUEZ GARCIA, SONIA CORADM MAD

PALOMA OCAÑA GUTIÉRREZ CORADM MAD

MANUEL LÓPEZ ALVARO CORADM MAD

GUTIERREZ BADORREY, Fº JAVIER CORADM MAD

JOSEP ANTONI UBED ESTEVE CORADM BAR

EDUARDO GALA SÁNCHEZ CORADM MAD

RUBIO HUALDE, M DOLORES CORADM MAD

Mª TAMARA RUIZ ORTEGA CORADM MAD

JOSE LUIS RUIZ CISNEROS CORALM SEC

FERNANDEZ VEGA FIGUEROA, OSMAR CORSGO MAD

PALACIO OÑATE, JOSE JAVIER CORSGO SEC

INMACULADA ARRANZ FRUTOS CORSGO MAD

NARANJO NIELFA, YOLANDA DIRCOR BAR

CARMEN TAPIA CASTRO AETSOL MAD

CORPORATIVA

GEMMA RIBAS MARTÍ AETSOL BAR

IGNASI HOSTA PASCUAL EDUBAR SEC

ELVIRA COLLADO TOMÁS EDUBAR BAR

YOLANDA BENITO NAVARRO EDUBAR BAR

FERRAN SOLE PRATS EDUBAR BAR

MUNNE AYZA, JOAQUIM EDUCAT BAR

EDUCACIÓN

CANOVAS LORENZO, RICARDO EDUCAT BAR


127

VARGAS HORMEÑO, M TERESA EDUCAT MAD

ALARCON FERNANDEZ, MERCEDES EDUCAT MAD

JOSEP CAPARRÓS PÁRAMO EDUCAT BAR

CANO AGUILA, SUSANA CR. EDUCAT BAR

PILAR SANTAMARIA HERNANDEZ EDUCAT BAR

TERESA ACHA MARTIN EDUCAT MAD

BERNARDO ARNEDO GARCÍA EDUCAT MAD

PRIETO GONZALEZ, CRISTINA EDUCAT BAR

Mª CARMEN RUIZ SALAZAR EDUCAT BAR

ALFREDO CABRERO GÓMEZ EDUCAT VALL

RUIZ AGUILAR, JOSÉ LUIS EDUCAT SEC

DOMINGO DOMINGUEZ, VERONICA EDUCAT MAD

GALLEGO QUER, CORA EDUCAT BAR

CABALLERO RODRIGUEZ, ANA MARIA EDUCAT MAD

MANUEL REGALIZA SILVA EDUCAT MAD

CAÑADA GURRUCHAGA, JESUS EDUCAT MAD

VARGAS HORMEÑO, M TERESA EDUCAT MAD

JESÚS MOLAS VALIOS EDUCAT BAR

GIMENEZ MIOTA, THAIS Mª EDUCAT BAR

FERNANDEZ ESTEVE, M CARMEN EDUCTE BAR

PLA ALVAREZ, EVA EDUCTE MAD

DE OÑATE BLANCO, HECTOR EDUCTE BAR

MERINO PEREZ, ELENA EDUCTE BIL

VAZQUEZ HERNANDEZ, ALBA EDUCTE MAD

SALES SERRA, JOSE RAMON EDUCTE BAR

MIGUEL LEÓN MARÍN EDUDEL SEV

JAVIER CACHO SANZ EDUDEL SEC

GERMÁN PECO GARCÍA EDUDEL BIL

ALVAREZ ALVAREZ, JAIRO EDUDEL VALL

PEDRO MINGUELA VELASCO EDUMAD MAD

GARCIA BAÑOS, BEATRIZ EDUORI MAD

BENIGNO RODRÍGUEZ RODRÍGUEZ EDUPRO MAD

JULIÁN TORRIJOS MOLINA EDUPRO MAD

FCO. JAVIER ENCINAS GARCIA EDUPRO MAD

ANTONIO YAGÜE AMO EDUSEC SEC

SOBRINO EXPOSITO, ANGEL EDUSOF SEC

JODRA SANCHEZ, OSCAR EDUVEN SEC

EDUCACIÓN

ARCONADA MUÑOZ, JAVIER EDUVEN MAD


128

SALAS HERNAIZ, M DOLORES EDUVEN VALL

RODRIGUEZ VIVO, JESUS EDUVEN VALE

ALFREDO JOSE VERCELLI GERENC SEC GERENCIA

CASTILLO SANZ, MARIA ROSA GERENC MAD

CRISTIAN MARTÍN PÉREZ MKTDIR SEC

ESTANISLAO PONCE GARCÍA MKTPUB BAR MARKETING

ZULUETA RODRIGUEZ, M DEL MAR MNGMKT MAD

JOSE ANTONIO PÉREZ CAÑAS SISAMC BAR

BORJA DE TEMPLE JOVE SISDES BAR

RODRIGUEZ PRADA, DAVID SISDES BAR

DIAZ CASTRO, DAVID TECINT MAD

LORITE DOÑA, JAVIER SISSIG BAR

JOSE LUIS RÍO FERNÁNDEZ SISSIG MAD

REYES CORDERO, TANIA TECINT MAD

PEDRO FERNÁNDEZ HENCHE TECHRD MAD

XAVIER CUBELLS ROCAMORA TECHRD BAR

JUAN CARLOS GARCÍA CALDERÓN SISSIG MAD

CAVERO TORREJON, PEDRO LUIS TECHRD MAD

SISTEMAS

COSIO PRUNEDA, ROBERTO TECINF MAD


129

6.1.1 Delegación Madrid

Situación Actual

Las “Características, tanto hardware como software, del Servidor” de la

delegación son las siguientes:

Nombre UPN CospaNet.cospa.local

IP 192.168.1.3

Modelo de máquina HP Proliant ML 330 G3

Procesador 1 x Intel Xeon - 3.6 Ghz

Memoria RAM 1 x 1024 Mb

Unidades de disco 3 x 146,8 GB (RAID-5) – 1 x 300 GB

Tarjetas de Red 1 x 1 Gbps

Sistema Operativo Microsoft Windows Server 2003 Standard

Edition – SP2

Funciones y servicios Controlador de Dominio.

Servidor DHCP.

Servidor DNS.

Servidor de Aplicaciones (Servidor Web,

Servidor de Componentes y Microsoft SQL Server

2000).

Servidor de Ficheros.


130

Aplicaciones Instaladas Microsoft Office 2002 SP3

Adobe Reader 7.0

Internet Explorer 7.0

Symantec LiveState Recovery

McAfee VirusScan Enterprise 7.1.0

Las “Copias de Seguridad” realizadas en la delegación se realizan con la

“Utilidad de Copias de Seguridad del sistema (NTBackup de Microsoft)”. Son

ejecutadas por dos usuarios: “Administrador y BackUpsCospaAgilmic”, que

cuentan con los permisos y derechos de usuario adecuados para poder realizarlas. El

acceso a los archivos de copia de seguridad está “Permitido sólo al propietario y al

administrador”, por lo que únicamente el administrador o la persona que creó el

archivo de copia de seguridad podrá restaurar los archivos y carpetas.

Los “Datos de los que se realizan copias de seguridad” son los siguientes:

El “Estado del sistema” es una colección de datos específicos del sistema que

el sistema operativo mantiene y que deben incluirse en una copia de seguridad como

una unidad. El equipo usa estos archivos del sistema para cargar, configurar y ejecutar

el sistema operativo.


131

Los “Datos Departamentales” son los datos fundamentales de cada

departamento y están agrupados en un archivo de selección que tiene el nombre y

que se encuentra en: “E:\BackUps\Selecciones\DatosDepartamentales.bks”.


132

Los “Datos de Usuarios”, son los datos fundamentales de cada usuario y están

agrupados en un archivo de selección que tiene el nombre y que se encuentra en:

“E:\BackUps\Selecciones\DatosUsuarios.bks”.


133

.

.

.

.


134

Los “Datos de las Aplicaciones Web”, son los datos de las aplicaciones Web

que desarrolla la empresa.


135

6.1.2 Delegación Barcelona

Situación Actual

Las “Características, tanto hardware como software, de los Servidores” de

la delegación son las siguientes:

Nombre UPN Serverbcn.bcn.cospa-aagilmic.com

IP 192.168.128.203

Modelo de máquina -

Procesador 1 x Intel Quad Q6600 - 2.4 Ghz


Unidades de disco 2 x 500 GB (RAID-1) – 1 x 500 GB


Sistema Operativo Microsoft Windows Server 2003 R2 -

Standard Edition – SP2

Funciones y servicios Controlador de Dominio.

Servidor DHCP.

Servidor DNS.

Servidor FTP (envío recepción SMS Amic)

Servidor de Ficheros.

Aplicaciones

Instaladas

Adobe Reader 7.0


McAfee VirusScan Enterprise 8.5.0i

VNC Server.

Server-U (servidor ftp)


136

Nombre UPN mailbcn.bcn.cospa-agilmic.com

IP 192.168.128.69


Procesador 1 x Intel Quad Q6600 - 2.4 Ghz


Unidades de disco 2 x 500 GB (RAID-1) – 1 x 500 GB



Standard Edition – SP2

Funciones y servicios Servidor FTP

Servidor de Correo

Aplicaciones

Instaladas

Adobe Reader 7.0



Server-U (Servidor ftp)

Mdaemon (servidor de correo electr.)


137

Nombre UPN Srv-app2.bcn.cospa-agilmic.com

IP 192.168.128.121


Procesador 2 x Intel Xeon E5506 - 2.13 Ghz

Memoria RAM 12 Gb

Unidades de disco 2 x 500 GB

2 x 2 TB



Standard Edition

Funciones y servicios Servidor de Ficheros.

Servidor Copias

Aplicaciones Instaladas Adobe Reader 7.0



Sql Server 2008 R2 Express


138

Las “Copias de Seguridad” realizadas en la delegación se realizan con la

utilidad “Karen’s Replicator” instalada en

Srv-App2. Esta utilidad permite centralizar

la copia de datos de uno, varios servidores

o pc’s a un destino local o de red. En el

Id#24, está creada la tarea que realiza un

duplicado de los archivos comprimidos por

cada tarea y los envía al disco extraíble. El

disco extraíble de este equipo es el que

posteriormente se envía a la Oficina

Central (Madrid) de forma alternativa con

los 2 discos que se poseen para esta tarea.

Los “Datos de los que se realizan copias de seguridad” son los siguientes:

Id# Origen Destino

1 \\mailbcn\c$\Programes de Servei\ \\srv-app2\m$\Copies\MailBcn\Mails\

2 \\pcdisseny\MARKETING\ \\serverbcn\DADES\Dpt_Disseny\Marketing\

3 \\pcdisseny\PROGRAMACIO\ \\serverbcn\DADES\Dpt_Disseny\Programacio\

4 \\Programacio\e$\LOLA\CopiaBD\ M:\Copies\Programacio\CopiaBD\

5 \\Programacio\LOLA\ \\srv-app2\m$\Copies\Programacio\LOLA\

6 \\Programacio\Recursos\ \\srv-app2\m$\Copies\Programacio\Recursos\

7 \\serverbcn\centrecalcul\AgMicClau\ \\srv-app2\m$\Copies\ServerBcn\AgMicClau\

8 \\serverbcn\centrecalcul\C_Calcul\ \\srv-app2\m$\Copies\ServerBcn\C_Calcul\

9 \\serverbcn\centrecalcul\CLASGES4\ \\srv-app2\m$\Copies\ServerBcn\CLASGES4\

10 \\serverbcn\centrecalcul\CTC\ \\srv-app2\m$\Copies\ServerBcn\CTC\

11 \\serverbcn\centrecalcul\Docus\ \\srv-app2\m$\Copies\ServerBcn\Docus\

12 \\serverbcn\centrecalcul\FTC\ \\srv-app2\m$\Copies\ServerBcn\FTC\

13 \\serverbcn\centrecalcul\SOFT\ \\srv-app2\m$\Copies\ServerBcn\SOFT\

14 \\serverbcn\centrecalcul\Soport\ \\srv-app2\m$\Copies\ServerBcn\Soport\

15 \\serverbcn\DADES\ \\srv-app2\m$\Copies\ServerBcn\Dades\

16 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\

Amic\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Amic\


OriWise\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Oriwise\


PalMaster\ \\srv-app2\m$\Copies\ServerBcn\Programacio\PalMaster\

19 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\Vb5\ \\srv-app2\m$\Copies\ServerBcn\Programacio\VB5\

20 \\serverbcn\Pudruccio\PROGRAMACIO en ServerBCN\Vb6\ \\srv-app2\m$\Copies\ServerBcn\Programacio\VB6\


Wise\ \\srv-app2\m$\Copies\ServerBcn\Programacio\Wise\

22 \\serverbcn\ServerWeb\ \\srv-app2\m$\Copies\ServerBcn\ServerWeb\


139

23 \\srv-app2\m$\Copies\MailBcn\Mails\ \\srv-app2\m$\Copies\MailBcn\Mails\

24 M:\CopiaCompri\ I:\Bak_MAD\

Descripción de las tareas

Id. Tarea

Copia

Descripción

1 Realiza una copia de los correos electrónicos (e-mails) de los usuarios

del dominio

2 – 3 Copia los trabajos realizados por el personal de diseño Marketing a una

carpeta en el servidor de ficheros

4 Extrae una copia de las Bases de datos utilizadas, en programación,

incluido el control de cambios en el código fuente del Programa Alexia.

5 Copia documentos complementarios utilizados por el Departamento de

Programación.

6 Archivos con los recursos ( programas / manuales / demos ) utilizados

por el Programación.

7 Programa de control de claves utilizado para la aplicación realizada para

“la Caixa”. (casi no se actualiza)

8 Carpeta con datos de clientes de Centro de Cálculo (Àmic)

9 Antiguo programa de gestión del Departamento de Hard

10 Antiguo programa de contabilidad

11 Documentos públicos de usuarios

12 Antiguo programa de facturación

13 Antiguo programa de gestión de claves (anterior a Àmic)


140

14 Carpeta con utilidades para el departamento de CTE. (Àmic)

15 Carpeta con Datos departamentales y Carpetas del personal

16 Código fuente de la Aplicación Àmic

17 Carpeta con los ejecutables y datos de configuración con las que se

crean los instaladores para clientes. (Àmic)

18 Código fuente de la aplicación PalMaster (PDA) Àmic

19 Carpeta con aplicaciones y utilidades realizadas con Visual Basic 5.0

20 Carpeta con aplicaciones y utilidades realizadas con Visual Basic 6.0

21 Carpeta con los instaladores de las aplicaciones Àmic, VB5 y VB6

22 Carpeta que da soporte al envío de SMS (Àmic)

23 Tarea de compresión de los correos electrónicos. (Se separó, para no

sobrecargar el proceso de copia y compresión).

24 Tarea que realiza la copia de las carpetas comprimidas a la unidad

externa rotativa. (Estas unidades son las que se envían por valija interna

a la sede de Madrid).


141

Una vez realizada la copia de los datos, para poder probar el funcionamiento

de la copia y poder replicar los servidores, se realiza una virtualización (con la utilidad

gratuita Disk2vhd) en caliente de los servidores que incluye el disco de sistema y su

configuración. Este proceso se realiza manualmente y con una periodificación

semestral/anual, aproximadamente.

Se realiza sobre los 3 servidores:

1. Servidor de dominio y documentos \\serverbcn.bcn.cospa-agilmic.com

2. Servidor de correo \\mailbcn.bcn.cospa-agilmic.com

3. Servidor Programación \\programacio.bcn.cospa-agilmic.com


142


143

ANEXO VIII

Registro de accesos

El Responsable del Fichero se compromete a establecer un Registro de

Accesos para los ficheros que exigen un nivel de seguridad alto, que contendrá los

siguientes campos:

Identificación del Usuario

Fecha Hora Fichero accedido

Tipo de acceso

Concedido o denegado


144

ANEXO IX

Modelo de registro de incidencias

INCIDENCIA Nº: FECHA NOTIFICACIÓN:

TIPO DE INCIDENCIA: (incluir código según mesa adjunta)

Tipo 1 Modificaciones o accesos no autorizados a información Tipo 2 Pérdida de información Tipo 3 Copias indebidas de datos en puestos de trabajo Tipo 4 Mal funcionamiento del sistema de copias de seguridad Tipo 5 Errores de sistemas/transacciones/ base de datos Tipo 6 Accesos no autorizados a locales donde se ubican los sistemas de

tratamiento de datos Tipo 7 Caída del sistema Tipo 8 Intento no autorizado de salida de soportes Tipo 9 Destrucción total/parcial de soportes Tipo 10 Conocimiento de terceros del identificador de usuario o contraseña Tipo 11 Existencia de sistemas sin las debidas medidas de seguridad Tipo 12 Cambio de ubicación física de los ficheros Tipo 13 Otros:

FECHA Y HORA DE LA INCIDENCIA: PERSONA(ES) QUE DETECTA(EN) LA INCIDENCIA Nombre y apellidos Cargo Departamento

PERSONA(S) A QUIÉN SE COMUNICA

Nombre y apellidos Cargo Departamento

DESCRIPCIÓN DETALLADA DE LA INCIDENCIA: EFECTOS QUE PUDO PRODUCIR: Persona que realiza la comunicación Firmado:_________________________ Cargo:___________________________

Responsable del fichero: Firmado:__________________________ Cargo:____________________________

Persona que recupera los datos: Nombre:_________________

Datos restaurados: Datos registrados manualmente:


145

ANEXO X

LAS PERSONAS RELACIONADAS A CONTINUACIÓN SON LAS AUTORIZADAS A ACCEDER A LOCALES CON SOPORTES Y SISTEMAS INFORMÁTICOS .

Madrid

1. Juan Carlos García Calderón

2. Iván González San José

3. Roberto Cosío Pruneda

Barcelona

1. José Antonio Pérez

2. Xavier Cubells

3. Borja de Temple


146

ANEXO XI

MARCO NORMATIVO COMUNICACIONES COMERCIALES ELECTRÓNICAS

LSSICE y comunicaciones comerciales. Aspectos generales.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. (en adelante, “LSSICE”), transpone al ordenamiento jurídico español, la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado Interior, y se marcó como objetivo en su momento, regular ciertos aspectos relacionados con las actividades que se venían llevando a cabo en la sociedad de la información, entendiendo como tal cualquier “servicio prestado normalmente a título oneroso, a

distancia, por vía electrónica y a petición individual del destinatario”. Entre otros aspectos por tanto, la LSSICE regula, en sus artículos 19 a 22, el envío de comunicaciones comerciales por vía electrónica.

Este documento tiene como finalidad analizar cómo afecta a la actividad empresarial de Cospa & Agilmic, S.L.U, especialmente en sus acciones de Marketing online, los supuestos de aplicación de la LSSICE más comunes: el envío de correos electrónicos1. En todos estos supuestos la LSSICE pretende impedir la proliferación del fenómeno conocido “spam”, definido por la propia AEPD, como cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa determinada. El presente documento consta de una primera parte de explicación de la normativa actualmente vigente en esta materia y una segunda que propone un protocolo de actuación para la implementación de la misma en las actividades de Cospa & Agilmic, S.L.U.

Los derechos que esta normativa otorga, son aplicables tanto a personas físicas como jurídicas y ello se desprende de la definición que la LSSICE establece para los “destinatarios del servicio” o simples “destinatarios”: “persona física o jurídica

que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la

información”. Por tanto las condiciones que a continuación veremos serán de aplicación tanto si el receptor del mensaje es una persona física (en cuyo caso también será aplicable la normativa de protección de datos, como expresamente prevé el artículo 19.2 LSSICE), como si es una persona jurídica.

1

Las obligaciones que a continuación indicaremos serían también aplicables al envío de SMS o MMS.


147

Requisitos para el envío de comunicaciones comerciales electrónicas.

Requisito principal: Consentimiento expreso.

El artículo 21.1 LSSICE prohíbe de forma expresa, el envío de comunicaciones comerciales electrónicas (por correo electrónico u otro medio equivalente), que no hubieran sido previamente solicitadas o autorizadas expresamente por su destinatario (persona física o jurídica). La LSSICE define comunicación comercial como “toda

forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de

los bienes o servicios de una empresa, organización o persona que realice una

actividad comercial, industrial, artesanal o profesional”.

¿Qué es una comunicación comercial?

-Debe tratarse de un mensaje publicitario o con finalidades comerciales. Por tanto, podemos considerar que no estarán sujetas a la regulación de la LSSICE las comunicaciones electrónicas con carácter meramente informativo o la publicidad de tipo institucional.

-Promoción directa o indirecta de imagen o de los bienes o servicios. Así cuando un mensaje publicitario, sujeto a la LSSICE, aluda de forma directa a un bien o un servicio para promover su compra o contratación, nos encontraremos en este supuesto. La LSSICE, incluyendo la “promoción indirecta” pretende adicionalmente, cubrir la mayoría de supuestos de envíos publicitarios donde, a pesar de no promocionar de forma concreta un bien o servicio, se lanzan mensajes con el objetivo de dar a conocer a una empresa o marca, con la finalidad última de que dicha promoción de la marca o empresa, acabe incitando al receptor del mensaje a consumir sus bienes o servicios. Este sería el caso de la publicidad corporativa.

Requisitos adicionales: información y revocación.

Una vez obtenido el consentimiento previo y expreso para el envío de la comunicación comercial, el mensaje enviado deberá cumplir con los siguientes requisitos informativos:

-Identificar de forma clara el nombre de la persona física o jurídica en nombre de la que se envía el mensaje publicitario. La ley dice expresamente “en nombre de la

cual”, lo que implica que si una determinada campaña a través del envío de comunicaciones comerciales electrónicas, es gestionada por un tercero por cuenta del beneficiario de la publicidad, en cada envío publicitario deberá informarse, al menos de los datos de dicho beneficiario.

-Incluir en el comienzo del mensaje la palabra “Publicidad” (en los correos electrónicos) o “Publi” (especialmente en los SMS). Además de esta obligación genérica para las comunicaciones comerciales en general, en los casos que dicha comunicación contenga una oferta promocional, en el mensaje dicha oferta deberá ser identificable como tal.


148

-Facilitar al receptor del mensaje la posibilidad de revocar el consentimiento de una forma sencilla y gratuita. La revocación del consentimiento para el envío de comunicaciones comerciales no implicará la cancelación (el borrado) de los datos del afectado, a menos que este no lo manifestara expresamente; ello no implica que en el caso de revocación del consentimiento, quien realiza los envíos publicitarios deberá tomar todas las medidas para que el afectado no siga recibiendo tales envíos.

Excepciones a la regla general.

El artículo 21 de la LSSICE prevé en su apartado segundo, que no será necesario el consentimiento previo del receptor del mensaje cuando los datos hubieran sido obtenidos de forma lícita en el marco de una relación contractual previa. En este caso pues, será posible el envío de comunicaciones comerciales electrónicas, sin el consentimiento previo de su receptor, siempre que se cumpla el requisito anterior y que las comunicaciones versen sobre productos o servicios similares a los inicialmente adquiridos o contratados y que sean de la propia empresa, organización o profesional. Este caso pues, viene a cubrir los supuestos en que un titular de un fichero dispone de datos de los clientes que le han adquirido algún producto o contratado alguno de sus servicios con anterioridad y quiere hacer uso de los mismos para informarle de productos o servicios similares y propios de quien hace el envío publicitario. Analicemos a continuación los elementos que definen esta importante excepción:

-Debe existir una relación contractual previa. En relación a este primero e importante requisito es necesario poner de relieve que quien envía las comunicaciones comerciales sin el consentimiento del receptor, basándose en esta excepción, debe estar en disposición de probar tal relación contractual; es decir que en el caso de una hipotética inspección de la AEPD, deberá aportar pruebas en este sentido; esta afirmación es válida tanto en el supuesto que los datos que establezcan dicha relación contractual se hubieran obtenido por medios tradicionales (contratos o documentación en papel), como si dichos datos se hubieran recogido a través de medios telemáticos.

-Debe informarse de productos o servicios similares a los que se adquirieron o contrataron en primera instancia (cuando se recopiló el dato). El segundo de los requisitos goza de un alto grado de indefinición debido al uso del término “similares”. Por lo tanto siguiendo el principio de prudencia que debe regir en el caso del tratamiento de datos, la recomendación sería extremar las precauciones al momento de aplicar esta excepción e analizar cada situación de forma individualizada.

-Los productos o servicios deben ser de la misma empresa que mantiene la relación contractual previa. Esto implica por ejemplo, que no sería admisible la remisión de publicidad por una empresa del mismo grupo que la que tiene la relación contractual con el receptor.

Infracciones y sanciones:

La LSSICE establece en su artículo 38 el importante apartado de infracciones y establece como una infracción leve el envío de comunicaciones comerciales sin el


149

cumplimiento de alguno de los requisitos recientemente analizados (sanción hasta 30.000 €). Recordamos en este punto que el incumplimiento de los citados requisitos puede llevar añadido una violación de la normativa de protección de datos, en cuyo caso sería aplicable también el régimen sancionador de dicha normativa.

En el caso de que se envíen tres o más comunicaciones comerciales a un mismo destinatario en el plazo de un año, sin cumplir con los requisitos establecidos, la infracción pasaría a ser considerada como grave (multa de 30.001 a 150.000 €).

PROTOCOLO DE ACTUACIÓN DE COSPA & AGILMIC, S.L.U. EN EL ENVÍO DE COMUNICACIONES COMERCIALES ELECTRÓNICAS

Una vez analizado el marco normativo relacionado con el envío de comunicaciones comerciales electrónicas, se propone el siguiente protocolo de actuación que debería regir las actividades de marketing de Cospa & Agilmic, S.L.U:

-Envío de comunicaciones comerciales electrónicas a clientes actuales de Cospa & Agilmic, S.L.U.: como se ha visto esta es una de las excepciones a la regla general del consentimiento expreso, por lo que se les podrá seguir enviando comunicaciones comerciales electrónicas sin necesidad de contar con dicho consentimiento expreso,

-Envío de comunicaciones comerciales electrónicas a antiguos clientes de Cospa & Agilmic, S.L.U. con los que se haya mantenido una relación contractual previa: al igual que en el caso anterior, podrán seguir remitiéndose correos comerciales electrónicos, sin necesidad de contar con su consentimiento expreso.

-Contactos generados a través de las páginas web titularidad de Cospa & Agilmic, S.L.U. Actualmente la citada web dispone de un aviso legal que cumple con el requisito de informar y de otorgar el consentimiento para recibir correos comerciales por vía electrónica. De todas formas habiendo revisado el formulario de contacto, recomendamos que se habilite un sistema mediante el cual, quien rellena el formulario de contacto no pueda enviar sus datos sin la aceptación expresa del citado aviso legal (check box sin marcar).

-Correos electrónicos obtenidos de otras fuentes (distintas a clientes). Como ha quedado indicado, el requisito que la normativa exige para el envío de correos electrónicos comerciales a este colectivo, es contar con su consentimiento expreso y previo. A pesar de esta obligatoriedad lo cierto es que los órganos competentes han distinguido los supuestos en los que el envío de un correo electrónico comercial era fruto de una relación previa con el receptor (a pesar de no ser cliente), de los casos en que el envío se realiza sin ningún tipo de contacto o relación anterior (por ejemplo las compras de bases de datos). Así la Audiencia Nacional, por ejemplo, estimó un


150

recurso contra una sanción de la AEPD que había sido impuesta por haber enviado información comercial a quien, en el marco de una feria, había entregado su tarjeta profesional. La Audiencia Nacional

determinó ““En contra de lo argumentado por la resolución recurrida, la entrega

de una tarjeta que contiene la dirección de e-mail, precisamente en una feria de ámbito

comercial en que el demandado promociona su producto, evidencia que, además del

teléfono y la dirección postal, quien la entrega consiente en que se dirijan

comunicaciones comerciales a dicha dirección de e-mail en relación con el

mencionado producto.”

Por tanto para los supuestos de envíos de correos electrónicos comerciales a personas o entidades que no son clientes pero con las que se mantiene una relación habitual, se recomienda que se guarde un registro de las acciones llevadas a cabo con dicha persona (llamadas, reuniones, visitas, etc..). De este modo, en el caso que un envío de un correo electrónico comercial, fuese denunciado por el destinatario, se podría demostrar dicha relación previa y esto podría ser considerado como una prueba indiciaria del consentimiento lo que actuaría en favor de Cospa & Agilmic, S.L.U.

-Correos electrónicos de personas o entidades con las que no puede demostrarse relación previa alguna y obtenidos de fuentes “públicas”. Este supuesto incluye los supuestos en que las direcciones de correo electrónico, han sido obtenidas a través de Internet o de guías (en papel o online) publicadas por organismos de distinta naturaleza. La disponibilidad de las direcciones para cualquiera que tenga acceso a Internet o a dichas guías, no las convierte en públicas según lo establecido en la LSSICE y la doctrina reiterada de la AEPD. Es por esta razón, junto a la normativa específica de la LSSICE, que el uso de dichas direcciones con el objetivo de remitir comunicaciones comerciales electrónicas, requerirá del consentimiento previo y expreso del destinatario o su autorización expresa a dichos efectos. En caso de no poderse demostrar dicho consentimiento previo y expreso, existe un riesgo de ser sancionado por el incumplimiento de los requisitos necesarios para el envío de comunicaciones comerciales electrónicas. En cualquier caso se recomienda que antes de dicho envío se contacte, por otros medios distintos al electrónico, con el titular del correo a efectos de obtener dicho consentimiento expreso o cuanto menos, de iniciar el contacto, registrando dichas acciones, y en caso de denuncia que se pueda demostrar una mínima relación previa lo que podría mitigar la graduación de una eventual sanción.

¿Cuál debe ser el contenido del mensaje?

Tal y como ha quedado señalado en el apartado normativo, el mensaje que se envíe deberá incluir una forma sencilla y gratuita para que el destinatario deje de recibir más correos. Actualmente el sistema elegido es una nota al pie del mensaje que incluye un enlace para que el destinatario se dé de baja de los envíos. Este sistema se considera correcto.


151

Adicionalmente deberá mencionarse en algún lugar del mensaje (preferentemente en el asunto o al inicio del mismo, la palabra “Publicidad” o “Publi”, e indicar en nombre de quien se remite dicho mensaje.

¿Cómo actuar en caso de oposición al envío?

En el supuesto que un destinatario ejerciera este derecho (oposición), significará, como también ha quedado indicado, que no desea que su correo electrónico sea utilizados para los envíos. Esto a la práctica tendrá las siguientes consecuencias:

-El ejercicio de este derecho, no implica, salvo mención expresa del titular del correo electrónico, el ejercicio del derecho de cancelación (borrado de sus datos), sino simplemente que no quieren que estos se usen con la finalidad publicitaria.

-Deberá informarse al destinatario, en un plazo máximo de 10 días hábiles (contando los sábados a efectos de cómputo), que se ha procedido a dar de baja su correo electrónico, respondiendo con el siguiente mensaje:

Apreciado XXX:

Le informamos que según el email recibido el pasado XXXX, hemos tomado las

acciones necesarias para que el correo electrónico XXXX@XXXX no reciba más

correos promocionales de COSPA & AGILMIC.S.L.U.

Atentamente,

-Tras el envío de dicho mensaje, deberán tomarse las medidas técnicas necesarias para que el correo electrónico desde el que se ha ejercido el derecho, no reciba más comunicaciones comerciales electrónicas de Cospa & Agilmic, S.L.U. En cualquier caso se anotará la fecha y hora exacta en la que el titular del derecho ejerció su derecho y la fecha y hora en la que se le concedió mediante el envío de la respuesta. Esta información deberá archivarse por un período de dos años.

-Adicionalmente, cada supuesto de solicitud de baja deberá ser anotada como una reclamación de un cliente de acuerdo a la política de calidad de Cospa & Agilmic, S.L.U. Dicha reclamación dará lugar a una acción correctiva (proceder a la baja del correo y enviar el mensaje incluido en este protocolo) y por último a una acción preventiva (a la que se da cumplimiento mediante la redacción de este protocolo).

-La solicitud de baja no generará ninguna tarea en relación al Documento de Seguridad de Cospa & Agilmic, S.L.U. al no considerarse incidencia sino una mera

reclamación de un cliente.

ANEXO XII

CLOUD PRIVADO

Un Cloud Privado significa que todos los recursos están dedicados única y

exclusivamente a nuestros Clientes frente al cloud público o híbrido en el que los

recursos y los anchos de banda, son compartidos por muchas empresas, lo cual no

permite garantizar que éstos estén disponibles ante la demanda de los mismos. El

nivel de soporte es de 24x7x365.

2. Cobertura de la Solución: En ningún momento se limita la

transferencia, ancho de banda, sesiones concurrentes o espacio ocupado o necesario

por el Cliente.

3. Copias de seguridad: Mantenimiento de copias de seguridad de

datos y repositorio. Con independencia de ello y para que el Cliente disponga de una

copia redundada, C&A habilita una copia para que el Cliente opcionalmente pueda

tener una copia en otro lugar en línea con el Reglamento de Seguridad de la AEPD.

Alta Disponibilidad y redundancia de equipos y servicios críticos: La

infraestructura garantiza el funcionamiento de las BBDD a través de un Cluster de

servidores SQL Server así como el almacenamiento de la información en cabinas con

un nivel de seguridad RAID 5 implementado. Todos los dispositivos de red que

forman parte de la infraestructura que garantiza el Servicio se encuentran

redundados en alta disponibilidad.

5. Trafico de Internet: Se garantiza la disponibilidad del ancho de banda

sin límite bajo demanda y sin necesidad de aprobación previa por C&A, para el

funcionamiento óptimo del Servicio bajo cualquier circunstancia.

6. Seguridad Lógica: A la seguridad lógica ya establecida por el IDC, se

amplía adicionalmente la misma, con la presencia de antivirus en todos los equipos.


153

7. Seguridad de Acceso: Los datos transferidos en los accesos WEB se

encuentran cifrados mediante comunicación HTTPS. Los accesos a la aplicación

Windows se realiza a través de Terminal Server.

8. Se utilizan adicionalmente, Firewalls dedicados destinados a garantizar

el bloqueo de accesos no autorizados.

9. Control de Rendimiento: Con el fin de garantizar el rendimiento óptimo

de todos los accesos al Servicio, se dispone de dispositivos físicos dedicados que

balancearán la carga entre los diferentes equipos de la infraestructura.

Seguridad física en su más amplio sentido : Controles de acceso a equipos

físicos, sistemas de protección de incendios y detección de fugas de agua o

combustible, centralizados y tele-gestionados, disponibilidad eléctrica

asegurada por redundancia de equipos mediante SAIs y grupos electrógenos,

añadiendo elementos alternativos como sistemas by-pass, transferencias de

cargas críticas sin cortes de tensión, aislamiento galvánico, red equipotencial

de tierra, etc., Climatización controlada: mediante equipos autónomos que

aseguran niveles de temperatura y humedad óptimos para el funcionamiento de

la infraestructura., Monitorización y vigilancia permanente: Sistema de gestión

del edificio (BMS) que monitoriza de forma centralizada la situación y estado de

la infraestructura con sistema de alarmas: centro de transformación, grupos

electrógenos, alimentación ininterrumpida, distribución eléctrica, climatización,

control de incendios, humedad, apertura de puertas, etc.


154

V.3/2012

CONTRATO DE INSTALACIÓN Y CESIÓN DE USO DE LICENCIAS DE SOFTWARE ALEXIA

(MODALIDAD CLOUD)

INTERVINIENTES:

Ambas Partes, en adelante “las Partes” se reconocen plena capacidad para contratar y obligarse en los

términos previstos en el presente Contrato, y de sus voluntades libres y espontáneas.

EXPONEN:

1. Que C&A, es una empresa dedicada al desarrollo de soluciones informáticas.

2. Que C&A, es titular de los derechos de explotación sobre la Plataforma denominada

ALEXIA, que incluye los módulos contratados y especificados en el Anexo III (en adelante,

“ALEXIA”). A estos efectos se hace constar que C&A tiene registrados todos los derechos de

explotación de ALEXIA en el Registro de la Propiedad Intelectual bajo el nº 16/2012/428.

3. Que C&A, va a proceder a la instalación y mantenimiento de ALEXIA en los términos

previstos en este Contrato.

4. Que el Cliente es una entidad dedicada a la Docencia.

5. Que el Cliente desea contratar con C&A, la instalación y mantenimiento de ALEXIA para

el/los Centro/os en el Centro de Datos indicado en el Anexo IV.

6. Que el Cliente, al efecto de utilizar ALEXIA, está interesado en la contratación del servicio

Cloud Privado (en adelante el Servicio/s), mediante el cual C&A pone a su disposición

equipos y servidores, así como unas conexiones adecuadas para el uso de ALEXIA.

7. Que el Cliente podrá contratar, en el momento de la firma de este Contrato o en futuro, el

acceso a servicios y aplicaciones adicionales, titularidad de terceros y sobre los que C&A

tiene los derechos suficientes para su comercialización (en adelante, “los Productos

Complementarios”).

Que la instalación, mantenimiento y cesión de uso de ALEXIA se va a llevar a cabo de

acuerdo con las siguientes

De una parte.

La Sociedad con denominación social Cospa-Agilmic

S.L.U., con CIF núm. B-84537653 con domicilio social

en Madrid, calle Bravo Murillo, nº 377, 6ª planta, C.P.

28020, representada en este acto por D. José Luis Ruiz

Aguilar, con DNI núm. 00798552-S, en calidad de

Apoderado (en adelante, “C&A”).

Por otra parte.

La Entidad con denominación COLEGIO EJEMPLO, con

CIF núm. A99999999X, con domicilio en la localidad de

MADRID (MADRID), calle Bravo Murillo, 377, C.P.

28020, representada en este acto por D./Dña. Director

del centro, con DNI núm. 9999999-A, en calidad de

Director, (en adelante, “el Cliente”).

CONTRATO Nº:

FECHA:


155

CLÁUSULAS:

Primera. Objeto del Contrato.

El presente Contrato tiene como finalidad la concesión de un derecho de uso de

licencia, intransferible y no exclusiva, por parte de C&A, al Cliente en relación con ALEXIA. En

virtud de este Contrato únicamente se cede al Cliente el derecho de uso. Cualquier otro derecho

distinto del cedido y mencionado anteriormente se entenderá como no cedido.

A estos efectos, se entenderá por ALEXIA la versión en código objeto del mismo así

como el resto de Documentación (los manuales de usuario y las instrucciones operativas

entregadas) y soportes, así como todas las ulteriores actualizaciones (las versiones

actualizadas de ALEXIA y de la Documentación, englobando las mejoras, extensiones y

cualesquiera otros cambios operados en los mismos), que reciba el Cliente durante la vigencia

del presente Contrato, ya sean en formato impreso o en lenguaje máquina.

La licencia concedida en virtud de este Contrato se basa en el acuerdo de las partes

sobre lo siguiente:

1. Que el Cliente reconoce que se encuentra autorizado a usar ALEXIA y elementos necesarios

para su uso únicamente de acuerdo con las cláusulas previstas en este Contrato.

2. Que la autorización de uso prevista en este Contrato no se extenderá a ninguna filial del

Cliente, así como tampoco a cualesquiera otras empresas o sociedades con las que el

Cliente mantenga o pueda mantener relación accionarial o comercial alguna ni a ningún

centro adicional a los previstos en el Anexo IV, salvo autorización expresa y por escrito de

C&A.

3. Que toda la documentación relativa a las distintas funcionalidades o módulos que

componen ALEXIA serán suministradas al Cliente.

Asimismo, este Contrato regula los términos y condiciones según los cuales C&A, a cambio de la

contraprestación recogida en el Anexo III, pondrá a disposición del Cliente la infraestructura del Cloud,

con las especificaciones técnicas y lógicas recogidas en el mismo, con la finalidad exclusiva de garantizar

el acceso a ALEXIA en las condiciones de uso detalladas en el presente Contrato. El citado Servicio se

prestará en las condiciones establecidas en este Contrato y con las características y nivel de calidad

establecidas en las Cláusulas vigésima y vigesimosegunda.

Segunda. Duración.


156

Este Contrato de Licencia comienza el día de su firma y tendrá una duración inicial de 1 año

natural. El Contrato será renovado automáticamente, por tácita reconducción, salvo manifestación en

contra de alguna de las Partes, con un preaviso mínimo de 60 días antes de su vencimiento. Este

acuerdo será necesario también para las sucesivas prórrogas, que puedan acordarse. Si el Cliente

hubiera contratado ALEXIA acogiéndose a alguna oferta de precios escalados por periodos de tiempo

previamente determinados, se aplicarán automáticamente los precios de la oferta en los periodos

predeterminados, en las sucesivas renovaciones de contrato, obviando la actualización de precios que le

correspondería en caso de no haberse acogido a dicha oferta. La terminación del presente Contrato

implicará la de cualquier obligación de mantenimiento, ejecución o instalación que recaiga en C&A, en

relación a ALEXIA.

Tercera. Puesta en marcha.

La puesta en marcha de ALEXIA, se realizará en el Centro de Datos indicado en el Anexo IV del

presente Contrato.

La instalación de ALEXIA, se llevará a cabo exclusivamente por el personal autorizado por C&A.

Cuarta. Traspaso de datos.

C&A garantiza el traspaso de los datos de alumnos, familiares, personal del Cliente, históricos de

calificaciones y en general los relativos a los expedientes de los alumnos, desde las aplicaciones de gestión

SIGMA – AMIC – GEDOC al sistema de gestión ALEXIA. Dicha garantía se otorga bajo la asunción que el

citado traspaso se realiza sobre la base de los ficheros originales del Cliente que, deberán estar

perfectamente configurados de acuerdo a los requisitos de la aplicación original.

Este traspaso de datos será realizado y supervisado por el personal de C&A debidamente cualificado y está

sometido a la regulación del presente Contrato.

El Cliente podrá obtener toda la documentación oficial publicada en la vigente Ley de Educación (LOE) y los

posteriores desarrollos de las distintas Consejerías de Educación de cada Comunidad Autónoma. En lo

relativo a la documentación oficial anterior a la entrada en vigor de LOE, el Cliente deberá conservar los

ficheros correspondientes a la aplicación que, hasta el día de la fecha venía utilizando (SIGMA, GEDOC,

AMIC) y será desde estas aplicaciones, desde donde, en el caso de ser necesario, deberá listar cualquier

documento oficial correspondiente a las anteriores leyes de educación (LOGSE, LOCE, LODE...).

C&A traspasará los datos de la aplicación de recibos escolares que el usuario tiene en su actual aplicación

de Gestión (SIGMA, GEDOC, AMIC), hasta un histórico de 5 años atrás, a contar desde el año natural en el

que se realice el traspaso de datos.

Quinta. Licencia o autorización de uso de ALEXIA.


157

Se autoriza al Cliente en virtud de este Contrato, con carácter intransferible y no exclusivo, a

usar ALEXIA única y exclusivamente para sus funciones y objetivos internos y en el marco del desarrollo

de su actividad, de acuerdo con las premisas previstas en el presente Contrato. En virtud de este

Contrato únicamente se cede al Cliente el derecho de uso sobre ALEXIA. Cualquier otro derecho distinto

del cedido y mencionado anteriormente se entenderá como no cedido.

Asimismo, mediante la firma de este Contrato, se cede al Cliente el derecho de uso de la

infraestructura a que se refiere el último párrafo de la Cláusula Primera, únicamente para el uso de

ALEXIA y solamente durante el tiempo que este Contrato se mantenga vigente. La resolución de este

Contrato por cualquier causa, implicará el cese automático del uso de la infraestructura.

Sexta. Propiedad de ALEXIA y derechos de explotación del mismo.

El Cliente reconoce que ALEXIA le es cedido para su uso y no para su reproducción,

modificación, cesión, venta, alquiler o préstamo y se compromete a no ceder su uso total o parcial de

ninguna forma y a no transmitir ni sub-licenciar ninguno de los derechos que tenga sobre él en virtud de

este Contrato, así como a no divulgarlo, publicitarlo, ni ponerlo de ninguna otra manera a disposición de

otras personas, salvo sus empleados que necesariamente deban utilizarlo para el desarrollo de su

actividad.

La presente licencia de ALEXIA otorga al Cliente el uso de los accesos de Terminal Server que

aparecen recogidos en el Anexo III de la Oferta Económica.

El Cliente comprende y acepta que ALEXIA contiene información sobre la que existen derechos

exclusivos y se compromete a que, salvo que C&A le conceda autorización expresa y por escrito, no

proveerá o facilitará o de cualquier otro modo hará accesible ALEXIA y/o la documentación relacionada

con el mismo a cualquier otra persona, compañía, sociedad, organización bajo ningún motivo o razón.

Esta prohibición se hará extensiva a cualesquiera otras compañías, sociedades o personas jurídicas en

las que el Cliente pueda tener participación accionarial o de cualquier otro tipo.

El Cliente no recibe por virtud de este Contrato derecho de propiedad alguno sobre ALEXIA ni

sobre la infraestructura ni sobre los Productos Complementarios. En concreto, el Cliente no recibe

derecho alguno de propiedad intelectual o industrial o de cualquier otro tipo sobre ALEXIA.

Séptima. Derechos y obligaciones de C&A.


158

i. Derechos

C&A tendrá derecho: (a) al acceso físico y lógico a los equipos ubicados en el Centro de

Datos y (b) a interrumpir los Servicios para acometer todas aquellas tareas que entienda

necesarias y/o convenientes con el fin de acometer mejoras y/o reestructuraciones en el

mismo así como para realizar operaciones de mantenimiento del Servicio. En este último

caso, C&A realizará sus máximos esfuerzos para notificar al Cliente y, con la antelación

razonable siempre que sea posible, de aquellos períodos de tiempo en los que se

interrumpiese el Servicio para que tales interrupciones afecten de forma mínima al Cliente.

ii. Obligaciones

C&A se compromete a realizar el máximo esfuerzo para mantener un nivel aceptable en el

cumplimiento de sus obligaciones contractuales sin perjuicio de que en algún momento no

pueda garantizar explícita o implícitamente la continuidad de los Servicios ante

circunstancias ajenas a su control.

C&A se compromete a prestar los Servicios de acuerdo con los términos establecidos en

este Contrato y sus Anexos y a realizar sus máximos esfuerzos para garantizar la prestación

de los Servicios de forma ininterrumpida las veinticuatro (24) horas del día durante todos

los días del año. C&A no será responsable de circunstancias o eventos que se encuentren

fuera de su exclusivo control, tales como la demora, la interrupción o el mal

funcionamiento de los Servicios atribuibles a terceros operadores o compañías de

servicios, falta de acceso a redes de terceros, actos u omisiones de las Autoridades Públicas

y situaciones de caso fortuito o fuerza mayor.

C&A garantiza que dispone y serán empleados en la prestación de los Servicios sistemas de

seguridad capaces de salvaguardar la integridad de los equipos, programas y datos que se

utilicen o sean resultado del mismo. C&A garantiza que utilizará personal idóneo, de

probada capacidad técnica.

C&A, sin perjuicio de los mecanismos de seguridad establecidos por ésta y el Centro de

Datos, no garantiza la ausencia de cualesquiera elementos ajenos que puedan producir

alteraciones en los equipos puestos a disposición del Cliente por C&A, donde se encuentra

alojado ALEXIA o en los documentos electrónicos y ficheros almacenados y/o transmitidos

desde/hasta el mismo. C&A declina expresamente cualquier responsabilidad/es en relación

con la introducción en los equipos y/o sistemas del Cliente y/o en los programas de

ordenador o materiales ajenos, que contengan una secuencia de instrucciones o

indicaciones que puedan ocasionar efectos nocivos al sistema informático del Cliente o de

terceros.

Octava. Derechos y obligaciones del Cliente.

i. Derechos

El Cliente tendrá los derechos establecidos en el presente Contrato y sus Anexos.

ii. Obligaciones


159

a) No utilizar las aplicaciones de gestión utilizadas hasta la fecha por el Cliente desde el momento de

la implantación de ALEXIA. En caso de utilización, el Cliente exime a C&A de la obligación de

realizar un nuevo traspaso de datos y se abstendrá de reclamar la incorporación de nuevos datos

introducidos en las antiguas aplicaciones. En caso de que el Cliente precise un nuevo traspaso de

datos, enviará una solicitud formal a C&A quién enviará, a su vez, el presupuesto y plazos de

realización al Cliente para su aceptación.

b) Permitir el acceso del personal de C&A debidamente autorizado a la infraestructura y a los datos

en ella contenidos. Este acceso podrá realizarse sin previo aviso al Cliente y sin necesidad de

autorización expresa, más allá de la establecida en este Contrato para el perfeccionamiento y

cumplimiento del mismo.

Este acceso se realizará exclusivamente con el fin de realizar chequeos periódicos de ALEXIA y

comprobar su correcto funcionamiento, así como la solución de posibles problemas en la

configuración.

Si durante el acceso se detectara la necesidad de intervención en los datos del Cliente, con el fin

de cumplir con la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter

Personal (LOPD), se enviará previamente un comunicado a la persona establecida como

responsable del mantenimiento técnico del Centro, explicando la necesidad de realizar el acceso,

cuándo se realizará y quién lo llevará a cabo.

c) Establecer las medidas necesarias para proteger ALEXIA y los medios técnicos homologados por

C&A de usos no autorizados en virtud de los términos de este Contrato.

d) Utilizar ALEXIA según las indicaciones y especificaciones de C&A y de la documentación entregada

por C&A.

e) Disponer y respetar los tiempos establecidos para la instalación de ALEXIA, así como los tiempos

de formación establecidos en el Plan de Formación ALEXIA, evitando las interrupciones y/o

variaciones de fechas salvo por causa de fuerza mayor.

f) Facilitar el acceso a las aplicaciones (Servidor, red local del Cliente, etc.) necesarias para realizar la

formación, al personal de C&A debidamente autorizado.

g) En relación al Servicio de Cloud, el Cliente: deberá (a) proporcionar a C&A la colaboración

necesaria para la correcta prestación del servicio, obligándose a tal efecto, a facilitar los datos

técnicos o de cualquier otra índole que sean necesarios para la prestación del mismo (b) no

perturbar impedir, interferir, distorsionar o dañar los equipos, aplicaciones, sistemas y/o

instalaciones de C&A o de terceras partes; (c) observar todas las normas que C&A pueda

imponer sobre la utilización de su infraestructura y recursos así como las políticas y condiciones

de uso que forman parte de este Contrato o de las aplicaciones y Servicios Adicionales previstos

en este Contrato; (d) no utilizar el software, la infraestructura y demás elementos cuyo uso se

cede para la realización de actividades contrarias a las leyes, a la moral y al orden público, ni

con fines o efectos ilícitos, prohibidos, lesivos de derechos o que afecten a intereses de

terceros.

h) El Cliente asume la plena responsabilidad acerca de la exactitud y veracidad de los Datos y

contenidos alojados tanto en ALEXIA como en los Servicios y en los Productos Complementarios.

Asimismo, asegura que los mismos se encuentran en su legítima disponibilidad y que no incurren

en ninguna prohibición, siendo el único responsable, administrativo, penal o civil de los mismos.

C&A, por tanto, no es responsable por la naturaleza, calidad y legalidad de los datos o contenidos

incluidos en ALEXIA o en los Productos Complementarios y procederá a bloquear su acceso en los

supuestos establecidos en la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la

Información y de Comercio Electrónico tan pronto le sea requerido en legal forma por

administración y/u órgano judicial competente. En este sentido, informará de inmediato al Cliente


160

y le transmitirá la notificación u orden recibida, siempre que no se encuentre impedido por

la propia resolución o por la legislación de aplicación.


161

Novena. Mantenimiento de ALEXIA.

En las cuotas descritas en el Anexo III, relativo al precio, se incluye expresamente un servicio permanente

de mantenimiento y asistencia técnica de ALEXIA, sometido a las siguientes cláusulas:

1. Servicios incluidos:

i. C&A ofrece la posibilidad de realizar la formación necesaria para el correcto uso de ALEXIA. En el

Anexo III se hace constar si ésta se incluye en la oferta. En caso de formaciones colectivas éstas se

realizarán en aula y fecha determinadas por C&A y el número de asistentes por Cliente será como

máximo de dos personas. Asimismo, C&A podrá ofertar sesiones de formación individual, bien en

el domicilio del Cliente o en sus propias instalaciones. Finalmente cabe la opción de contratar

sesiones de formación mediante un sistema de acceso remoto con la herramienta de comunicación

ISL. En este caso se hace constar que C&A dispone de la licencia original de uso. Cualquier

formación no especificada en el Anexo III, estará sujeta a las tarifas y condiciones establecidas por

C&A y publicadas en su página Web.

ii. Intervenciones para la conservación de ALEXIA objeto de este Contrato, que se realizarán siempre

dentro de las horas hábiles, según el calendario laboral de C&A, publicado en su Web.

iii. Servicio de resolución de consultas por teléfono, fax y/o correo electrónico dentro de las horas

hábiles, según el calendario laboral de C&A, publicado en su Web.

iv. Modificaciones de ALEXIA:

a) Para adaptarlas a nuevas exigencias legales publicadas exclusivamente en el Boletín Oficial del

Estado o en el Boletín Oficial de la correspondiente Comunidad Autónoma en el plazo de 30 días

hábiles desde su publicación, siempre y cuando sea posible su actualización y no sea

incompatible con el funcionamiento interno de ALEXIA.

b) Mejoras efectuadas a criterio de C&A En los casos que estas mejoras impliquen una

modificación sustancial de ALEXIA, C&A se reserva el derecho de establecer un cargo en

concepto de “Versión mejorada”.

v. Facilitar al legítimo representante del Cliente las contraseñas y códigos de acceso a la aplicación,

cuando por olvido o cambio repentino del personal, sea necesario.

vi. En el caso excepcional que la persona asignada por el Cliente finalice la relación laboral con el

mismo, de forma repentina, C&A proporcionará, sin ningún coste, y con un máximo de una vez al

año, una sesión de formación de dos horas a la persona que el Cliente designe. Quedan excluidos de

esta prestación los costes de desplazamiento.

vii. Asesorar al Cliente en todos aquellos aspectos que la flexibilidad de ALEXIA permita adaptarlo a las

necesidades y requisitos concretos del Cliente.

viii. Acceso a la zona restringida de la Web de C&A para acceder a la documentación adicional del

Programa objeto de este Contrato.

ix. Exportaciones de datos desde ALEXIA siempre que se trate de exportaciones requeridas por la

Comunidad Autónoma (CCAA) correspondiente, a través de sus organismos competentes y se

soliciten en un formato normalizado (por ejemplo XML, Excel, ASCII, TXT). Recibidos los formatos en

que deba realizarse la exportación, C&A dispondrá de una plazo de 30 días hábiles para incorporarla

en su aplicación. En ningún caso se realizarán exportaciones a un formato propietario.


162

No obstante lo anterior, C&A podrá facturar las exportaciones de datos que le sean requeridas si no

cumplen los anteriores requisitos o no ha transcurrido un intervalo de seis meses desde la última

exportación realizada.

El mismo tratamiento descrito anteriormente, será de aplicación para las importaciones de datos

desde programas de las Comunidades Autónomas, a ALEXIA.

Entendiendo que lo detallado en este apartado hace referencia exclusivamente al programa de

gestión ALEXIA, objeto del presente Contrato y siempre que el programa de la correspondiente

CCAA permita el intercambio de datos.

2. Servicios no incluidos:

i. La corrección de errores imputables a la manipulación de ALEXIA por personal no autorizado

expresamente por C&A.

ii. Los trabajos necesarios para restablecer la situación anterior derivada de operaciones

incorrectas por parte del Cliente que ocasionen pérdidas de información, destrucción o

desorganización de ficheros.

iii. La corrección de anomalías imputables exclusivamente al ordenador utilizado para el acceso y

que, por tanto, no guarden ninguna relación de causalidad con ALEXIA o su infraestructura.

iv. La reparación de daños causados por virus o defectos de otros programas o sistemas operativos

no relacionados en este Contrato.

v. La reparación de daños causados por fallos de la corriente eléctrica o, en cualquier caso, por

interrupción de la alimentación eléctrica del Cliente.

vi. La adaptación de ALEXIA a las circunstancias particulares del Cliente.

vii. La formación del personal usuario de ALEXIA salvo en lo que se indica en el punto VI del

apartado 1, estipulación novena.

viii. El diseño de formatos específicos de listados, etiquetas o formularios que el diseñador que

incluye ALEXIA, permite hacer al usuario.

ix. El desplazamiento del personal de C&A a las dependencias del Cliente.

Décima. Aspectos medioambientales

Será responsabilidad del Cliente asegurarse que sus equipos y periféricos entre otros, estén instalados en

un espacio con las características medioambientales adecuadas que permitan el correcto funcionamiento,

mantenimiento y conservación de los equipos informáticos utilizados y que deberán ser respetados por el

Cliente a lo largo de la vida del presente Contrato.

Undécima. Protección de datos personales.

Los datos personales facilitados por el Cliente a los efectos de establecer y mantener la presente

prestación de servicios serán archivados en ficheros titularidad de C&A, con la única finalidad de prestar los

servicios, así como para proceder a su facturación y a informar al Cliente de las novedades comerciales.

C&A informa a los titulares de los mencionados datos que pueden ejercer los derechos de acceso

rectificación, cancelación y oposición en la siguiente dirección: calle Bravo Murillo, 377, 28020 de Madrid.

En función de la prestación de los distintos servicios incluidos en este Contrato y de lo que dispone la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las Partes acuerdan la

firma del Anexo II del presente Contrato. Las Partes responderán de sus obligaciones respectivas derivadas

del cumplimiento de la normativa de protección de datos personales, así recaerá exclusivamente sobre el

Cliente, la obligación de habilitar las medidas necesarias y disponibles en ALEXIA, a efectos de dar

cumplimiento a la normativa de protección de datos.


163

Duodécima. Productos Complementarios.

El Cliente podrá contratar los Productos Complementarios, que se detallen en los Anexos a este Contrato y

que incluyen las características detalladas en los mismos. La contratación de los Productos

Complementarios implica la aceptación expresa de las condiciones de uso o licencia indicadas en cada caso

y que son establecidas por C&A de cada Producto Complementario.

El Cliente reconoce que el acceso a los Productos Complementarios no implica que ostente derecho de

explotación alguno sobre los mismos, más allá de aquellos necesarios para su disfrute en las condiciones

definidas en cada Anexo. El Cliente es el único responsable ante C&A, el titular de los Productos

Complementarios y terceros, de cualquier vulneración de tales derechos.

En el caso que para la prestación de los Productos Complementarios, C&A tuviera que acceder a datos

alojados en ficheros del Cliente, sería de aplicación lo estipulado en el Anexo II del presente Contrato.

Decimotercera. Servicio de Comunicaciones.

El Servicio de comunicaciones consistirá en el mantenimiento de la estructura tecnológica, que permite el

acceso a la información albergada a través de Internet, por parte de los Clientes usuarios de la aplicación

ALEXIA y que constituye la esencia del servicio prestado de comunicaciones.

Decimocuarta. Precio y facturación.

El precio y facturación de los servicios reflejados en el presente Contrato se encuentran definidos en el

Anexo III. Los precios podrán ser actualizados anualmente conforme al IPC anual.

La demora injustificada en el pago en el plazo acordado, facultará a C&A a aplicar un interés del 1,5%

mensual sobre el importe pendiente objeto de dicho retraso, salvo que hubiera transcurrido el plazo

previsto en la cláusula siguiente, en cuyo caso podrá resolver el Contrato de pleno derecho.

C&A en todo caso, está autorizada a ceder a terceros los derechos de cobro de las cantidades adeudadas

por el Cliente.

En el supuesto que el Cliente exceda los consumos de los Servicios especificados en este Contrato y en sus

Anexos, éste deberá reembolsar a C&A por los gastos en que éste hubiera incurrido como consecuencia de

dichos excesos.

Decimoquinta. Resolución anticipada y penalizaciones.

En el caso de que una de las Partes incumpliera cualquiera de las cláusulas pactadas o cualquiera de las

obligaciones nacidas del presente Contrato, la parte perjudicada deberá notificárselo fehacientemente a

la parte incumplidora, quién dispondrá de un plazo máximo de quince (15) días para subsanar el

incumplimiento. De no producirse tal subsanación en el plazo citado la parte perjudicada podrá resolver

el Contrato de pleno derecho, sin perjuicio de la indemnización por los daños y perjuicios que pudieran

corresponder, los cuales no podrán nunca superar la tercera parte de lo que falta pagar para cumplir el

Contrato.

La falta de pago parcial o total de las sumas adeudadas dará derecho a C&A, desde que dicha suma es

debida, a suspender la ejecución de sus obligaciones sin perjuicio del derecho a reclamar los daños y

perjuicios correspondientes. Pasados treinta días (30) de demora, C&A podrá dar por resuelto el Contrato

de pleno derecho sin perjuicio de la reclamación de daños y perjuicios que pudiera corresponder, según lo

descrito en el punto anterior, y sin obligación de restituir las sumas ya percibidas.


164

C&A no asume responsabilidad alguna si, por caso fortuito o fuerza mayor, no pudiera cumplir

con cualquiera de las obligaciones materia del presente Contrato. Se consideran, a título de ejemplo,

entre éstos los siguientes actos:

• Terremotos o cualquier otra catástrofe natural.

• Otros siniestros.

• Fallos en la conexión a Internet.

• Actos y consecuencias de vandalismos y terrorismo.

• Huelgas, motines y paros.

• Actos de imprevisibles consecuencias debidamente justificados: guerras, sublevaciones, etc.

• Cualquier otra circunstancia que judicialmente y/o dentro de las prácticas habituales de

comercio, puedan tener esa consideración.

Decimosexta. Limitación de responsabilidad.

C&A no será responsable del mantenimiento de la estructura tecnológica, la interrupción o indebida

prestación de los servicios objeto del presente Contrato o de sus Anexos, como consecuencia de mal

funcionamiento de las redes a través de las cuales se prestan los mismos, y sobre cuya gestión no existe

control alguno por su parte.

El Cliente será el único responsable de implementar las medidas puestas a su disposición para

guardar la confidencialidad de los datos alojados en ALEXIA. C&A garantiza la realización semanal de tres

(3) de copias de seguridad de datos y repositorio de ficheros, automáticamente, que realiza la propia

infraestructura de servicio en diferentes días y renovadas semanalmente.

Decimoséptima. Régimen de Responsabilidad.

i. Régimen General

C&A responderá únicamente de los daños directos que sufra el Cliente y tan sólo cuando

hayan sido causados directamente y atribuibles a una acción dolosa o negligente de C&A.

C&A, quedará exonerada de cualquier tipo de responsabilidad frente al Cliente, sus

usuarios y terceros, en los supuestos en que las anomalías se deban a acciones u omisiones

directamente imputables al Cliente, a sus usuarios, contratistas, arrendatarios,

representantes, cesionarios, empleados o personal que dependa de él o esté a su servicio o

cualesquiera terceros así como de aquellas consecuencias directas o indirectas del mal uso

o manipulación indebida de los Servicios por personal ajeno al Cliente. En estos casos, C&A

no será responsable de los daños, pérdida de negocio, ingresos o beneficios, daño

emergente, lucro cesante o de oportunidades de negocio, de ahorro de gastos y de

desaparición o deterioro de datos.

C&A, no será en ningún caso responsable de: (a) los costes, multas, sanciones

indemnizaciones, cargos, daños u honorarios que se deriven como consecuencia del

incumplimiento por el Cliente de sus obligaciones; (b) el contenido, uso y publicación de las

informaciones y comunicaciones distribuidas a través de los servicios así como el uso y los

resultados obtenidos de los mismos. El Cliente es el único responsable de: (a) el uso que

realice de los servicios prestados; (b) el cumplimiento íntegro de cualquier normativa o

conducta que pudiera resultar aplicable.


165

ii. Exoneración

C&A o el Centro de Datos no serán responsables de los problemas derivados de la falta de

acceso o de los problemas inherentes a la conectividad a Internet o a las redes de

electricidad cuando estas tuvieren su origen en causas ajenas a su control o a causas que

no hubieran podido ser previstas por las Partes o que aún siendo previsibles, C&A y el

Centro de datos haya realizado todos los esfuerzos razonables para evitarlas o que fueran

consideradas como casos fortuitos o de fuerza mayor.

C&A y el Centro de Datos, no intervienen en la creación, transmisión ni en la puesta a

disposición de la información, y no ejercen ninguna clase de control previo ni garantizan la

licitud, infalibilidad y utilidad de los contenidos transmitidos, difundidos, almacenados,

recibidos, obtenidos, puestos a disposición o accesibles a través o por medio de los

Servicios, declinando cualquier responsabilidad que de ello se pudiese derivar. El Cliente es

el único responsable frente a cualquier reclamación o acción legal, judicial o extrajudicial,

iniciada por terceras personas tanto contra el Cliente como contra C&A, relativa a la

infracción de derechos de terceros y/o de normativas aplicables que se deriven del

contenido, asumiendo el Cliente cuantos gastos, costes, indemnizaciones sean irrogadas a

C&A con motivo de tales reclamaciones o acciones legales.

iii. Limitación

La imposibilidad de uso de los servicios por parte del Cliente, por razones imputables a

C&A o el Centro de Datos, que tenga carácter recurrente y permanente en el tiempo sin

que, habiéndose comunicado fehacientemente a C&A, éste no haya habilitado una

solución en tiempo y forma, constituirá causa legítima para la resolución del Contrato.

Sin perjuicio de las exoneraciones y limitaciones de responsabilidad acordadas en la presente

cláusula, ambas Partes aceptan que cualquier indemnización que potencialmente se pudiera

derivar del incumplimiento de los Servicios, deberá necesariamente moderarse teniendo

como referencia, entre otros, los siguientes criterios: (a) la existencia de una relación

razonable entre la infraestructura y la retribución pactada; (b) el estado de la técnica en cada

momento y los usos y costumbres de las empresas que actúan en el sector; (c) el tipo y la

naturaleza de los Servicios contratados en relación con los riesgos inherentes a la actividad

empresarial del Cliente; (d) la toma por parte del Cliente de las precauciones necesarias para

eliminar y/o en su caso minorar los daños causados.

Decimoctava. Cesión.

Ninguna de las Partes podrá ceder a un tercero este Contrato ni cualquiera de los derechos u obligaciones

derivadas del mismo sin el consentimiento expreso de la otra Parte.

Como excepción, C&A podrá ceder los derechos derivados del presente Contrato, a favor de cualquier

sociedad de su mismo grupo empresarial cumpliendo, en todo caso, lo establecido en la legislación en

vigor en materia de protección de datos personales.

Decimonovena. Subcontratación del Servicio Cloud.

El Cliente conoce y acepta de forma expresa que los Servicios y la ejecución de cualesquiera de sus

obligaciones derivadas del presente Contrato son subcontratados por C&A al Centro de Datos seleccionado

por C&A y basado en criterios de sostenibilidad en el largo plazo, antecedentes en cumplimiento de niveles

de servicio, seguridad de las instalaciones, robustez de la infraestructura, fiabilidad de las soluciones y

otras variables analizadas por C&A para su selección en el momento de la contratación. Ello sin perjuicio,


166

que C&A pueda cambiar de proveedor unilateralmente, previo aviso al Cliente, si estos criterios u otros

determinados por C&A, cambiasen en cualquier momento. En cumplimiento de lo establecido en el

artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,

C&A se compromete a la firma de un contrato con la entidad que gestione el Centro de Datos, a efectos de

dar cumplimiento de lo exigible en la normativa de protección de datos personales.

En cualquier caso, C&A responderá ante el Cliente dentro de las obligaciones recogidas en el presente

Contrato.

Vigésima. Acuerdo de Nivel de Servicio (ANS) del Cloud.

Se define en este apartado los niveles de calidad de Servicio en concepto de Disponibilidad del Servicio y

Acceso así como Tiempos de Respuesta ante incidencias.

i. Disponibilidad del Servicio y Acceso

Se define como la Disponibilidad de la Infraestructura y Acceso a la misma, como la capacidad de

transmitir y recibir datos a través de las líneas de comunicación definidas por C&A y aportadas por el

Centro de datos (ver descripción en la estipulación vigesimoprimera de este Contrato y las

condiciones que se recogen en el Anexo III correspondiente a la Oferta Económica).

De acuerdo a las condiciones de conectividad asumidas por el Centro de datos, se establece el

siguiente nivel de servicio en cuanto a disponibilidad trimestral de los Servicios prestados al Cliente.

Disponibilidad del Servicio 99.9%

Disponibilidad de Acceso 99.9%

No computarán para este cálculo de la disponibilidad de los Servicios:

• Causas ajenas al control de C&A, del Centro de datos y de fuerza mayor.

• Averías causadas por usos incorrectos por parte del Cliente del Servicio.

• Paradas del Servicio programadas para mantenimiento.

• Imposibilidad de restablecimiento del Servicio por motivos imputables al Cliente, esto es,

causas achacables a la manipulación directa de las aplicaciones que redunden en su incorrecto

funcionamiento.

• Mal funcionamiento o bajo rendimiento de la infraestructura que esté utilizando el Cliente,

para conectarse al Servicio contratado a C&A.

ii. Tiempo de Respuesta ante incidencias

Se define el Tiempo de Respuesta ante Incidencias el tiempo transcurrido entre la Comunicación de

Incidencia por parte del Centro o personal autorizado por éste y comunicado previamente a C&A,

siguiendo el procedimiento estipulado para dicha comunicación, y el envío por parte de C&A de una

Comunicación de Recepción de la Incidencia, informando sobre el inicio de los trabajos destinados a

diagnosticar y/o solventar la incidencia.

Las incidencias se clasifican de la siguiente forma:

1. Críticas: Bajo esta clasificación se recogen todas aquellas incidencias que impliquen una


167

PARADA TOTAL del Servicio o la imposibilidad de acceso por causas achacables a C&A o el Centro de

datos.

2. No Críticas: Bajo esta clasificación se recogen todas aquellas incidencias que signifiquen una

PARADA PARCIAL del Servicio.

C&A se compromete a cumplir los siguientes niveles de calidad, en función de la clasificación de la

incidencia y respecto al Tiempo de Respuesta ante Incidencias:

Tiempo Medio Respuesta ante Incidencias Críticas: 1 hora

Tiempo Medio Respuesta ante Incidencias No Críticas: 3

horas

No se tendrán en cuenta los tiempos de respuesta ante incidencias planteadas en los siguientes

casos:

• Comunicaciones recibidas mientras se está solventando un problema de carácter general

relativo a otro punto de los especificados en el presente ANS.

• Aumento del tiempo de respuesta debido a causas de fuerza mayor y/o retrasos no imputables

a C&A.

• Peticiones tramitadas por contactos no registrados por C&A como autorizados por el Cliente.

La resolución de incidencias asociadas a los problemas de funcionamiento del servicio con los

equipos o dispositivos desde los que se está conectando el Cliente a través de Terminal Server,

quedan limitadas a los equipos y dispositivos vinculados a Alexia en el propio Centro.

iii. Horarios

a) Atención telefónica al Cliente: horario laboral de C&A, salvo en períodos de evaluación que se

ampliarán los horarios habituales de servicio de la Consultoría Técnica de Educación (CTE), para

atender las necesidades de los Clientes en estos periodos críticos.

b) El Servicio será prestado por C&A en un esquema 5x8 salvo, al igual que en el punto anterior,

en los periodos de evaluación, que se prestará en un horario extendido. Ello, con independencia de

que el soporte de Acens Technologies, S.A. a la infraestructura Cloud de C&A es de 24x7x365.

Vigesimoprimera. Definiciones.

Las definiciones de las características y especificaciones técnicas que aparecen en la Oferta Económica,

son las siguientes:

a. Ocupación

Se define como ocupación a la suma del espacio requerido por la base de datos, el back up más el

repositorio de ficheros del Centro.

b. Sesiones Concurrentes

Se define sesiones concurrentes de Terminal Server al número de accesos simultáneos que puede

realizar cada usuario del Cliente a la aplicación Windows del Servicio. Si el Cliente necesitara una mayor

concurrencia deberá contratarlo como un servicio complementario. No computará en este cálculo los

accesos al servicio WEB que será el realmente utilizado por profesores, familiares y alumnos.

c. Transferencia Anual de Datos

Se define como transferencia anual de datos al volumen de datos transferidos bi-direccionalmente a


168

través de las líneas de comunicación entre los equipos que alojan el Servicio contratado a C&A por el

Cliente y los usuarios del mismo.

d. Excesos

Por exceso se entenderá cualquier uso del Servicio que supere los límites recogidos en la Oferta

Económica.

Vigesimosegunda. Descripción del Servicio.

Características del Servicio y Acceso.

i. Cobertura de la Solución: En ningún momento se limitará la transferencia, ancho de banda,

sesiones concurrentes o espacio ocupado o necesario por el Cliente. No obstante, el Servicio

contratado estará definido por unos límites máximos que se considerarán razonables, en base a

la dimensión de los centros, sin perjuicio de que lo que exceda dichos límites sea facturado.

ii. Soporte de Acens a la infraestructura de C&A: Esquema 24x7x365.

iii. Copias de seguridad: Mantenimiento de 3 copias de seguridad de datos y repositorio. Dichas

copias se realizarán en diferentes días y serán renovadas semanalmente.

iv. Alta Disponibilidad y redundancia de equipos y servicios críticos: Se garantiza el

funcionamiento de las BBDD a través de un Cluster de servidores SQL Server así como el

almacenamiento de la información en cabinas con un nivel de seguridad RAID 5

implementado. Todos los dispositivos de red que forman parte de la infraestructura que

garantiza el Servicio se encuentran redundados en alta disponibilidad.

v. Trafico de Internet: Se garantiza la disponibilidad del ancho de banda sin límite bajo demanda

y sin necesidad de aprobación previa por C&A que sea necesario para el funcionamiento

óptimo del Servicio bajo cualquier circunstancia. Todo ello sin perjuicio que los excesos sobre lo

contratado sea facturado adicionalmente.

vi. Seguridad Lógica: A la seguridad ya establecida por el Centro de datos, se amplía

adicionalmente la misma, con la presencia de antivirus McAfee, en todos los equipos.

vii. Seguridad de Acceso: Los datos transferidos en los accesos WEB se encuentran cifrados

mediante comunicación HTTPS. Los accesos a la aplicación Windows se realiza a través de

Terminal Server.

Se utilizarán adicionalmente, Firewalls dedicados destinados a garantizar el bloqueo de accesos

no autorizados.

viii. Bloqueo de sesión por inactividad: Siguiendo los estándares internacionales de seguridad de la

información y atendiendo a la tipología de datos accesibles en ALEXIA, en el caso de que la

plataforma esté abierta y se detecte una inactividad del usuario autenticado por un período

igual a los 15 minutos, automáticamente se bloqueará la sesión siendo necesaria que el

usuario, con el fin de restablecerla, vuelva a introducir los datos de identificación en ALEXIA.

ix. Control de Rendimiento: Con el fin de garantizar el rendimiento óptimo de todos los accesos al

Servicio, se dispone de dispositivos físicos dedicados que balancearán la carga entre los

diferentes equipos de la infraestructura.

x. Aspectos de la seguridad física: C&A se compromete a alojar el Servicio en el Centro de datos,

en un espacio acondicionado para cumplir con las más exigentes medidas de disponibilidad y

seguridad:


169

• Controles de acceso a equipos físicos: Detectores de presencia y proximidad, circuito

cerrado de televisión, sensores biométricos de acceso, entre otros.

• Medios físicos de seguridad: Sistemas de protección de incendios y detección de fugas de

agua o combustible, centralizados y tele-gestionados.

• Alimentación eléctrica: Disponibilidad eléctrica asegurada por redundancia de equipos

mediante SAIs y grupos electrógenos, añadiendo elementos alternativos como sistemas by-

pass, transferencias de cargas críticas sin cortes de tensión, aislamiento galvánico, red

equipotencial de tierra, etc.

• Climatización controlada: mediante equipos autónomos que aseguran niveles de

temperatura y humedad óptimas para el funcionamiento de la infraestructura.

• Monitorización y vigilancia permanente: Sistema de gestión del edificio (BMS) que

monitoriza de forma centralizada la situación y estado de la infraestructura con sistema de

alarmas: centro de transformación, grupos electrógenos, alimentación ininterrumpida,

distribución eléctrica, climatización, control de incendios, humedad, apertura de puertas,

etc.

Vigesimotercera. Nulidad de cláusulas.

Continuará siendo válido el Contrato y sus Anexos y seguirá teniendo los mismos efectos entre las Partes,

aunque se dé el supuesto en que resultará nula o inválida o dejará de tener efectos alguna o algunas de sus

cláusulas, excepto que el contenido contractual resultante posteriormente a la anulación fuera

manifiestamente abusivo para una de las Partes, o no se hubiera celebrado el Contrato sin la/las

cláusula/as nula/s o anulada/s.

Vigesimocuarta. Anexos.

Los Anexos referenciados en el presente Contrato forman parte indivisible del mismo, así como cualquier

otro que pudiera firmarse posteriormente por las Partes y que estuviera relacionado con el mismo.

Vigesimoquinta. Comunicaciones.

Cualquier comunicación relacionada con el cumplimiento del presente Contrato o su modificación, se

realizará por escrito y se enviará por burofax a las Partes, a la atención de las personas que figuran a

continuación:

Por C&A:

Por el Cliente:

Cospa-Agilmic, S.L.U.


Bravo Murillo, 377

28020 - Madrid

COLEGIO EJEMPLO

D./Dña. Director del centro

C/Bravo Murillo, 377

28020 - MADRID

Cualquier notificación relacionada con el uso de ALEXIA, con los Servicios o con los Productos

Complementarios, se realizará a través de correo electrónico de la Consultoría Técnica de Educación (CTE)

de C&A ([email protected]) o a través del Teléfono de Atención al Cliente 902 013 800.

Los avisos relativos a incidencias globales o labores de mantenimiento que vayan a iniciarse por C&A y que

supongan, una interrupción del Servicio, serán comunicados a las direcciones de correo que aparecen en el

anexo IV, desde la dirección de correo de C&A, [email protected]. Esta cuenta de correo no

admite respuesta.


170

Vigesimosexta. Legislación aplicable y jurisdicción competente.

El presente Contrato se interpretará según las Leyes Españolas y se someterá a la jurisdicción de los

Tribunales de la ciudad de Madrid.

El Proveedor El Cliente

Cospa-Agilmic, S.L.U. COLEGIO EJEMPLO

D. José Luis Ruiz Aguilar D./Dña. Director del centro


171

ANEXO XIV

LOPD en ALEXIA

Introducción

Cualquier Centro educativo situado en el territorio español debe gestionar los datos de los

alumnos, familias y personal según la Ley Orgánica de Protección de Datos (en adelante LOPD), que en

su Artículo 1 define su objetivo como el de garantizar y proteger, en lo que concierne al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y

especialmente de su honor e intimidad personal y familiar.

Las garantías de la LOPD y demás normativas de desarrollo, son únicamente exigibles para los

datos de personas físicas, por lo que este manual hace referencia únicamente a las medidas de

seguridad a tomar en relación a datos de alumnos, familiares y personal del Centro.

El Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de

Desarrollo de la Ley Orgánica 15/1999, del 13 de diciembre (RLOPD), como su nombre indica, desarrolla

la LOPD, tratando, entre otros aspectos las medidas de seguridad aplicables a los tratamientos de datos

personales. Este manual tiene también como objetivo dar cumplimiento a la Disposición Adicional Única

del RLOPD.

Los datos personales tratados desde ALEXIA y a los que por tanto, les son de aplicación las

garantías establecidas tanto de la LOPD como del RLOPD son la información relativa a alumnos,

familiares y personal del Centro, así como, según las funcionalidades de Alexia, aquellos datos que

pueden ser tratados por el Centro en el marco de sus actividades educativas.

La Suite Educativa Alexia, en base a esta legislación, permite otorgar distintos permisos y niveles

de LOPD para el acceso a los datos según el usuario sea un profesor, padre, alumno o personal de

administración y servicios. Cada Centro educativo podrá determinar qué permisos y niveles concede a

cada perfil.

Nota: Si usted lo desea puede acceder a la LOPD y al RLOPD.


172

Objetivos

A lo largo de este manual encontrará las herramientas necesarias para cubrir los siguientes

objetivos:

1. Definir los conceptos de rol, perfil y permisos, usuario.

2. Definir los distintos perfiles y roles y asignarles sus permisos.

3. Crear un nuevo usuario concediéndole un rol, perfil y permisos determinados.

4. Distinguir los niveles de acceso a los datos por usuario según su nivel de LOPD.

1. Niveles de seguridad

El artículo 80 del RLOPD define tres niveles de seguridad en función de la categoría de datos

tratados: básico, medio y alto.

En ALEXIA es posible tratar datos que exigen los tres niveles de seguridad previstos, por este

motivo en el presente manual se expone la forma de aplicar las medidas de seguridad que corresponden

a cada tipo de datos.

De acuerdo a los datos que pueden incorporarse en ALEXIA, puede establecerse la siguiente

tipología de datos:

• Los datos exclusivamente identificativos de personas físicas, (por ejemplo: nombre, dirección

postal o electrónica, teléfono, datos bancarios, fotografías, etc…), deberán aplicar las medidas

de seguridad de Nivel Básico.

• Los datos que ofrezcan una definición de las características o de la personalidad y que

permitan evaluar determinados aspectos de dicha personalidad o del comportamiento (por

ejemplo la información académica), deberán aplicar las medidas de Nivel Medio.

• Por último, los datos, especialmente protegidos, deberán aplicar la medidas de Nivel Alto,

previstas en el RLOPD (por ejemplo informes psicopedagógicos, informes médicos o datos de

religión)

ALEXIA permite al Centro la administración de múltiples campos (más allá de los incluidos en la


173

configuración inicial del programa), así como incluir cualquier tipo de datos en los campos libres de

información. En relación a esta disponibilidad del Centro, éste debe conocer el nivel de seguridad de cada

tipo de dato que pretenda incorporar en ALEXIA, aplicando las medidas de seguridad que en su caso

correspondan. Así mismo, el Centro debe conocer y aplicar los principios básicos establecidos en la

normativa de protección de datos y que deben regir el tratamiento de cualquier información relativa a

alumnos, familiares y personal del Centro.

Este manual se limita a detallar en qué forma puede darse cumplimiento a las medidas

establecidas en el RLOPD, únicamente en relación a al tratamiento de datos que puede llevarse a cabo

desde ALEXIA. En todo caso el Centro además de activar las medidas de seguridad aquí detalladas,

deberá implementar las medidas de seguridad exigibles fuera del tratamiento de datos realizado desde

ALEXIA.

1.1. Nivel de acceso

El nivel de LOPD es particular a cada usuario, independientemente de los perfiles a los que esté

asociado.

Los perfiles habilitan a los usuarios a acceder a determinadas pantallas o acciones, el nivel de

LOPD restringirá ciertos datos de esas pantallas o acciones.

1.2. Los niveles de LOPD

El objetivo principal de la LOPD es el de regular:

• El tratamiento de datos y ficheros de carácter personal, independientemente del soporte en el

cual sean tratados.

• Los derechos de los ciudadanos sobre sus datos.

• Las obligaciones de aquellos que almacenan y tratan dichos datos.

Con Alexia el Centro escolar gestionará gran cantidad de datos bajo la protección legislada por

la LOPD contemplando los 3 niveles de protección:


174

• Alto.

• Medio.

• Básico.

Como cada Centro educativo incluye en ALEXIA los datos que estima necesarios, la aplicación

se limita a poner las herramientas para que éste cumpla con el RLOPD. La implementación efectiva de

los niveles de seguridad, dependerá exclusivamente del Centro que deberá estar debidamente asesorado

en relación al nivel de seguridad aplicable en cada caso.

NOTA: C&A ofrece su servicio de asesoramiento en todo lo referente a LOPD, por profesionales

debidamente certificados. Para mayor información consulte el espacio "Asesoría fiscal/contable \

Servicios" de http://www.cospa-agilmic.com

1.3. Determinar niveles de acceso

La normativa de protección de datos obliga a conceder a las personas con acceso a datos,

únicamente aquellos permisos necesarios para dar cometido a sus funciones laborales, así, será el propio

Centro quien decide otorgar a cada usuario su nivel de LOPD de acceso a la información.

Alexia, por defecto, concede a cada usuario un nivel básico, pero en todo momento el Centro

educativo puede aumentarlo de acuerdo a las necesidades concretas de cada usuario.

Así, dependiendo del nivel que se le haya concedido a un usuario, accederá a una información u otra.

Sirva de ejemplo el Centro C&A, con 4 roles y 14 perfiles. En el siguiente esquema mostramos los

distintos niveles de LOPD que la dirección del Centro ha decidido otorgar a cada usuario. En este caso el

Centro C&A ha decidido que todos los perfiles tengan el mismo nivel de LOPD. Pero podríamos encontrar

la situación de que dentro de un mismo perfil, por ejemplo, monitor de comedor, exista un usuario al que

le queremos otorgar un nivel de LOPD básico (Monitor A) y otro con nivel de LOPD medio (Monitor B) por

su función dentro del comedor escolar o por cualquier otro motivo.


175

1.4. Proceso de determinación de niveles de acceso

Alexia concede por defecto un nivel de LOPD básico a todos los usuarios del colectivo escolar.

Pero también permite otorgar otro nivel de LOPD si el Centro lo considera necesario.

A continuación se muestra la ruta que hay que seguir:

Utilidades\Seguridad\Usuarios\Elección de un usuario\Rol\Editar\Nivel de LOPD


176

1.5. Consecuencias del nivel de LOPD

Los usuarios tendrán acceso a determinadas acciones y pantallas según los perfiles asociados.

Una vez acceda a la información, por ejemplo la ficha del alumno, se limitará el acceso a

determinadas informaciones en base al nivel de LOPD de dicho usuario.

Por ejemplo, un usuario con nivel LOPD básico, en la ficha del alumno no tendrá acceso a datos

médicos o de creencia religiosa.

Otro ejemplo son los listados. El usuario tiene el permiso de hacer listados de alumnos, y en el

modelo elegido constan datos de nivel superior al que dicho usuario tiene asignado. En ese caso, Alexia

imprimirá el listado con esos datos en blanco.

Otras afectaciones están relacionadas a los datos libres y al documentador. Cuando se

introducen tanto los datos libres como los archivos del documentador se debe especificar el nivel de

LOPD a que están sujetos.

Por tanto, los usuarios con nivel de LOPD inferior al requerido, no tienen acceso a determinadas

informaciones.


177

Sirva de ejemplo el caso en que en la ficha del alumno se haya incluido un informe psicológico. A

ese documento se le indica nivel alto para que únicamente accedan los usuarios autorizados

independientemente que en su perfil tengan acceso a la ficha del alumno.

2. Asignación de permisos

2.1. Usuarios, roles, perfiles y permisos

A continuación se ofrece una breve definición de cada uno de los términos más significativos

sobre el tema que ocupa este manual.

• Rol: cada uno de los 4 tipos de actores que intervienen en la vida de un Centro educativo.

• Perfil: conjunto de permisos relacionados con un rol.

• Permiso: posibilidad de acceder a determinadas acciones o informaciones.

• Usuario: cada una de las personas con clave de acceso a la suite educativa Alexia.

• Administrador: persona responsable de administrar la suite educativa Alexia en el Centro

educativo.

• Supervisor: persona responsable de administrar la suite educativa Alexia de la institución

educativa, cuya tarea principal es la de realizar tareas de configuración.

2.1.1 Definición de usuarios, roles, perfiles y permisos

Dentro de un Centro educativo podemos encontrar los siguientes grupos de personas según

sean sus roles:

• Administrador.

• Empleados.

• Padres.

• Alumnos.

Cada uno de estos roles a su vez puede tener un perfil distinto. Si nos centramos por ejemplo en

el rol de empleado éste puede tener el perfil de un profesor académico, de un monitor de actividades


178

extraescolares, de una recepcionista, etc.

A cada perfil se le podrá otorgar unos permisos diferentes. Con dichos permisos los usuarios

podrán acceder a unas u otras acciones. Los permisos y los niveles de LOPD, que más adelante

explicaremos, son independientes pero funcionan en paralelo.

Un mismo usuario puede pertenecer a más de un perfil (por ejemplo profesor y secretario). En ese

caso los permisos serán la suma de los dos perfiles.

A modo de ejemplo mostramos un esquema del Centro C&A que tiene 4 roles y 14 perfiles:

2.2. Creación de un perfil

Para la creación de un perfil el usuario deberá seguir la siguiente ruta:

Utilidades\Seguridad\Perfiles

Lo primero por hacer es asignar un rol al nuevo perfil y darle un nombre que sea descriptivo.


179

En la carpeta ‘Permisos’ debemos seleccionar aquellos que se atribuyen al nuevo perfil.

Para buscar estos permisos podemos filtrarlos con la ayuda de la aplicación.

Existen permisos comunes a los 4 roles y otros específicos a un rol determinado. Por ejemplo,

"Ver la agenda" es un permiso para los 4 roles; "Matricular alumnos" es un permiso exclusivo al rol de

empleado.


180

2.3. Creación masiva de usuarios

Alexia permite la creación colectiva de nuevos usuarios y al mismo tiempo la asignación de un

perfil.

Para ello el usuario encargado de esta tarea deberá recorrer la siguiente ruta:

Utilidades\Seguridad\Creación de usuario

Únicamente se pueden crear usuarios a partir de personas que todavía no tienen código de

acceso pero ya están registradas en Alexia.

2.4. Cambio individual de perfil

El administrador de Alexia puede encontrarse en la situación de tener que otorgar o eliminar un

perfil a un usuario concreto.


181

Para ello deberá recorrer la siguiente ruta:

Utilidades\Seguridad\Usuarios

Desde la ficha del usuario podrá definir el/los perfil/es que tendrá ese usuario concreto, tal como

muestra la siguiente figura:

En el caso que muestra el ejemplo, al usuario, además del perfil "Secretaría" se le otorgará el

perfil definido como "RRHH".

3. Código de acceso o password

3.1. Nomenclatura de las claves de acceso

Alexia define las siguientes claves de acceso:

• Código de usuario, o username, código que reconoce al usuario.


182

• Código de acceso, o password, contraseña con la que el usuario accede a Alexia.

3.2. Entrega de códigos

En el momento en que el usuario es dado de alta en Alexia, se le asignará automáticamente una

clave de acceso, basada en un algoritmo que garantiza la confidencialidad de las mismas. Es por ello que

el administrador de Alexia o el encargado de dar de alta en el sistema a los demás miembros de la

comunidad educativa, debe definir desde el primer momento y mantener actualizados los campos del

correo electrónico y/o teléfono móvil con el fin de poder notificar sus claves de acceso desde el primer

momento.

3.3. Notificación de códigos

Desde el espacio "Mantenimiento de usuarios", el administrador de Alexia podrá realizar las

siguientes acciones:

• Generar password: genera un nuevo password y envío de una notificación al usuario al correo

electrónico y/o teléfono móvil que tenga asignado en su ficha personal. Opción recomendada en


183

caso de pérdida de contraseñas.

• Enviar el password: envía el password del usuario a través de una notificación (correo

electrónico y/o al teléfono móvil), sin generar uno nuevo. Opción recomendada en caso de olvido

de contraseñas.

Nota: Con la opción HD puede reproducir el vídeo en alta calidad.

Nota: Si no puede visualizar el vídeo, refresque la pantalla pulsando F5.

3.4. Notificación masiva

De la misma manera que el usuario podrá enviar a quienes lo soliciten su password de forma


184

individual, Alexia ofrece la posibilidad de realizar una notificación de forma masiva, garantizando en todo

caso la confidencialidad de las claves de acceso individuales generadas.

Para ello el administrador deberá recorrer la siguiente ruta:

"Utilidades\Seguridad\Notificar usuarios"

En primer lugar deberá elegir a qué rol pertenecen los usuarios a quienes se les enviará la

notificación.

Con el habitual filtro, podrá localizar con facilidad a dichos usuarios.


185

Después de realizar el filtro, Alexia ofrece un listado de usuarios tal como muestra la siguiente

figura. En ella, el administrador deberá seleccionar los usuarios a quienes se realizará la notificación


186

Al pulsar sobre el botón "Siguiente" Alexia ofrecerá una relación del nombre del destinatario

asignado a cada usuario. Esta pantalla es muy útil para que el administrador pueda comprobar que todos

los usuarios tienen asignados los datos de la persona quien corresponda. En el caso de los alumnos que

no tengan teléfono móvil y/o correo electrónico C&A aconseja que las notificaciones sobre el password le

sean enviadas a su primer tutor legal. En cualquier caso el Centro deberá aplicar la regulación prevista

para el tratamiento de datos de menores de 14 años, de acuerdo a lo establecido en el artículo 13 del

RLOPD, "Consentimiento para el tratamiento de datos de menores de edad".

Además, el administrador podrá acabar de definir a qué usuarios finalmente, les enviará la

correspondiente notificación.


187

Al pulsar sobre el botón "Siguiente", Alexia mostrará una pantalla como la siguiente imagen, en

la que el Administrador podrá decidir por qué canales enviará la notificación. Además podrá definir una

breve descripción para cada canal a través del lápiz editor.


188

Ver puntos 3.6 y 3.7 de este manual.

3.5. Identificación y autentificación

El sistema de identificación y autentificación es distinto en Alexia servidor que en Alexia cloud.

En el primero el usuario accede directamente a Alexia, mientras que en el segundo se debe validar

previamente a la plataforma que aloja el servicio. Es por ello que en este apartado es importante que el

lector tenga claro en todo momento a cuál de los dos se está refiriendo la descripción del manual.

3.5.1 Alexia Servidor

Alexia está alojada en un servidor del Centro. La validación se realiza directamente en Alexia y

su supervisor, desde la ficha "Institución", podrá definir:

• El número máximo de sesiones que puede tener un usuario de forma simultánea. (Nota: el valor

0 significa que Alexia no llevará un control sobre el número de sesiones que puede tener

abiertas un usuario al mismo tiempo. El valor 1 significa que un usuario tan sólo puede tener una

sesión abierta de forma simultánea).

• El tiempo en que una sesión inactiva tardará en cerrarse de forma automática.

• El tiempo que transcurrirá en que el sistema obligue al usuario, por cuestiones de seguridad, a

cambiar su contraseña. Este tiempo no podrá superar los 365 días.

• La longitud mínima que debe tener la contraseña para que sea válida, con un mínimo de 6

caracteres.

• El número máximo de veces que el usuario podrá intentar escribir su contraseña.

• El tiempo en que el sistema quedará bloqueado para el usuario que haya escrito la contraseña

de forma errónea más veces de las indicadas en el campo "Intentos de acceso permitidos"


189

3.5.2 Alexia Cloud

Antes de acceder a Alexia, el usuario deberá validarse en la plataforma cloud. Ésta tiene sus

propias características definidas por C&A:

• El tiempo en que una sesión inactiva tardará en cerrarse de forma automática. En Alexia Cloud

será de 15 minutos, dado que éste, por definición, es el tiempo máximo del servicio como

medida preventiva de seguridad de acceso a los datos por parte de terceros, en caso que el

usuario se ausente.

• El tiempo que transcurrirá en que el sistema obligue al usuario, por cuestiones de seguridad, a

cambiar su contraseña. Este tiempo será de 90 días, tiempo máximo del servicio por definición.

• La longitud mínima que debe tener la contraseña para que sea válida. Este valor es de 8

caracteres.


190

• El número máximo de veces que el usuario podrá intentar escribir su contraseña. Dicho valor

será de 5.

3.6 Envío de correos electrónicos

El usuario debe recordar que, para poder enviar mensajes debe tener configurada la ficha del

Centro.

Para la configuración del envío a través de correos electrónicos el usuario deberá recorrer la

siguiente ruta:

"Archivo\Definiciones\Centro"


191

En la carpeta "Correo electrónico" el usuario deberá introducir los datos según corresponda.

Nota: el único dato que no varía es "Puerto: 25".

3.7 Envío de SMS

Para el envío de SMS no es necesario que el usuario realice ningún tipo de configuración.

4. El servicio cloud

4.1. Seguridad del servicio

Cospa&Agilmic pone a disposición de los clientes "Alexia como servicio" (modalidad SaaS). La

aplicación no estará instalada físicamente en el Centro educativo, sino que el cliente podrá acceder a

Alexia a través de internet desde cualquier dispositivo que cumpla con los requisitos exigidos por

Cospa&Agilmic para dicho acceso.

Para el alojamiento de Alexia, Cospa&Agilmic ha contratado el servicio de Cloud a Acens, uno

de los Data Center de mayor reconocimiento en España.

El modelo de Cloud contratado es "Cloud Privado", lo que garantiza que la infraestructura es

utilizada única y exclusivamente por Clientes de Cospa&Agilmic.

El acceso físico a dicha infraestructura se encuentra controlado mediante detectores de presencia,

circuitos cerrados de televisión y sensores biométricos.

Se asegura la alimentación ininterrumpida de corriente así como la existencia de medidas de

seguridad ante incendios, fugas, etcétera, y el mantenimiento de las condiciones óptimas de humedad y

temperatura.

Para asegurar la máxima disponibilidad del servicio, todos los dispositivos críticos se encuentran

redundados (servidores, switches, firewalls, cabinas de datos, etc.).


192

Todos los equipos se encuentran protegidos mediante sistemas actualizados de antivirus.

Los accesos al servicio de Alexia se realizan a través de sistemas de "firewall" que garantizan la

máxima seguridad.

El sistema detecta períodos de inactividad del servicio y establece como medida de protección el

cierre de las sesiones que superaron el tiempo de inactividad máximo establecido (ver punto 3.5.

Identificación y autentificación).

4.2. Seguridad de la información

Cospa&Agilmic mantiene con Acens (prestador del servicio de Cloud) una relación contractual

cuyas cláusulas garantizan el cumplimiento de la normativa de protección de datos personales, y evita

que Acens pueda subcontratar el servicio total o parcialmente.

La infraestructura que aloja el servicio y los datos de Alexia, se encuentra situada en España,

concretamente en Alcobendas (Madrid); para mayor información puede acceder a la siguiente dirección:

http://www.acens.com/corporativo/infraestructura/datacenter

El siguiente diagrama representa la relación entre todos los agentes implicados desde la

perspectiva del cumplimiento de la normativa de protección de datos:


193

El Centro, que contrata el uso de Alexia, en todo momento es el responsable del fichero o del

tratamiento de los datos como entidad que decide sobre su finalidad, contenido y uso de los mismos.

Cospa&Agilmic como prestador de servicios es el encargado del tratamiento de los datos

accediendo únicamente a ellos para dar cumplimiento al Contrato firmado con el Centro.

Al igual que en la opción servidor, los datos de carácter personal alojados en Cloud no se

utilizarán para fines distintos al mantenimiento del servicio de Alexia contratado por el Cliente, ni se

revelarán o permitirá el acceso a terceros, salvo empleados o colaboradores de Cospa&Agilmic obligados

a mantener el carácter confidencial, mediante la firma de los correspondientes compromisos y acuerdos

de confidencialidad.

Se adoptarán, actualizarán y mantendrán las medidas organizativas y técnicas que se detallan en

la normativa vigente, así como adicionalmente, aquellas que se estimen necesarias para garantizar la

seguridad y confidencialidad de los datos de carácter personal, impidiendo cualquier alteración, pérdida,

tratamiento, procesamiento o acceso no autorizado, de conformidad con el estado de la tecnología,

naturaleza de los datos y los riesgos a los que estén expuestos.


194

La página WEB de Alexia es compatible con el protocolo de seguridad HTTPS, codificando

mediante un certificado de seguridad (SSL) la información transferida durante las sesiones WEB. El

Cliente podrá solicitar la activación de dicho protocolo para el acceso a sus datos a través de su contacto

habitual en Cospa&Agilmic. Esta medida garantiza el cumplimiento de aquello establecido en el artículo

104 del RLOPD, garantizando el debido cifrado de los datos transmitidos para asegurar su integridad

durante su transmisión.

4.3. Acceso a la información: derechos de acceso, rectificación, cancelación y oposición de los

datos

El acceso remoto a Alexia facilitado al Cliente, le permite el acceso a la totalidad de la información

almacenada, lo que posibilitará al Cliente dar el cumplimiento del derecho de acceso, rectificación,

cancelación y oposición con sus usuarios de Alexia y dispondrá de la colaboración de Cospa&Agilmic en

todo momento a tal efecto.

4.4. Acceso a la copia de seguridad

Accediendo a Alexia WEB con el usuario supervisor, aparecerá un enlace a través del cual se

podrá realizar la descarga de una copia de seguridad de los datos de Cliente alojados en Cloud.

5. Comunicación de incidencias

Ante cualquier incidencia que pueda poner en riesgo la integridad o confidencialidad de los datos

del Cliente, Cospa&Agilmic se compromete a comunicarlo con la mayor diligencia posible a la persona del

Centro que el Cliente haya determinado para tal fin, o en su defecto, al director/a del mismo.

Se informará del alcance de la incidencia para que el Cliente pueda cuantificar el daño, y se

indicarán las medidas adoptadas para su oportuna resolución así como las correcciones pertinentes para


195

evitar que se repitan en el futuro.

Las incidencias quedarán debidamente registradas en el Documento de Seguridad de

Cospa&Agilmic, lo que no exime al Cliente de llevar su propio registro.

6. Registro de acceso

Alexia ofrece la posibilidad de llevar un registro del acceso de los usuarios a la plataforma desde

dos perspectivas:

• Acceso a Alexia

• Acceso a datos con nivel de LOPD medio y alto

El administrador de Alexia podrá encontrar esta nueva herramienta recorriendo la ruta:

Utilidades\Seguridad\Registro de accesos

Para que el usuario tenga acceso a ella deberá tener activo el permiso "Registro LOPD".


196

6.1 CuentaLogin y CuentaLogout

Acceso: La herramienta ofrece información sobre el acceso de los usuarios a Alexia.

• CuentaLogin: hace referencia al momento de acceso a la plataforma.

• CuentaLogout: hace referencia al momento en que el usuario sale de la plataforma.


197

6.2 Acceso a información con nivel medio/alto

Alexia ofrece información sobre el acceso de los usuarios a información con nivel de LOPD

medio o alto.

En la tabla sobre el acceso a dicha información, Alexia describe:

• Tipo de información: la ficha a la que se ha accedido, por ejemplo de una sección o de un

alumno.

• Nombre de la información: a la que se ha accedido. En el caso de un alumno, se muestra el

nombre del mismo.

• Nivel de protección: al que está sujeto el dato.


198

o DL1: nivel de protección alto.

o DL2: nivel de protección medio.

• Tipo de acceso: indica la acción que se ha realizado sobre la información. Por ejemplo: lectura,

modificación o borrado.

• Autorizado: muestra si el usuario que ha accedido a la información está o no autorizado a ello.

El registro de accesos se archiva dos años.

Nota: Como en las otras tablas, Alexia ofrece la herramienta de "filtro" de información.

7. Copias de seguridad

El sistema de gestión de copias de seguridad es distinto en Alexia servidor que en Alexia Cloud.

Es por ello que en este apartado es importante que el lector tenga claro en todo momento a cuál de los

dos se está refiriendo la descripción del manual.

7.1 Proceso programado

7.1.1 Alexia servidor

Con el objetivo de garantizar la confidencialidad, la integridad y disponibilidad de los datos,

Alexia realiza una copia de seguridad de forma automática a lo largo de la madrugada de cada jornada.

En el sistema quedan almacenadas las 5 últimas copias de seguridad así como una copia de seguridad

realizada al finalizar cada mes.

Los ficheros que se elaboran a raíz de este proceso quedan alojados en el servidor asignado en

cada Centro educativo. No obstante, recomendamos adicionalmente que el usuario realice una copia de

dichos archivos con el fin de alojarlos en otra unidad de disco de acuerdo al artículo 102 RLOPD.

NOTA: C&A pone a su disposición soluciones tecnológicas. Para mayor información consulte el

espacio "Equipamiento TIC \ Productos y servicios" de http://www.cospa-agilmic.com


199

Podrán realizar este proceso todos los Clientes que tengan contratado el servicio de Alexia en

servidor local.

7.1.2 Alexia Cloud

Con el objetivo de garantizar la confidencialidad, la integridad y la disponibilidad de datos, Alexia

realiza una copia de seguridad de forma automática a lo largo de la madrugada de cada jornada,

sustituyéndose todos los días. En el sistema quedan almacenadas 4 copias, las correspondientes a la

madrugada del lunes, del miércoles, del viernes y la pasada madrugada. Los ficheros que se elaboran a

raíz de este proceso quedan alojados en las instalaciones del Cloud de Alexia.

Las copias de seguridad de los Clientes que tengan contratado el servicio de Alexia Cloud, las

realizará el proveedor del servicio de alojamiento debidamente informado en el Contrato de prestación de

servicio.

Sirva de ejemplo la situación del viernes 19 de abril de 2013. Las 4 copias de seguridad

almacenadas corresponderán a las realizadas:

• En la madrugada del viernes 12/04/13.

• En la madrugada del lunes 15/04/13.

• En la madrugada del miércoles 17/04/13.

• En la pasada madrugada 19/04/13.

7.2 Tipos de ficheros

Para Alexia Cloud y Alexia Servidor, las copias de seguridad que se realizan de forma automática

tienen la extensión BAK y contienen distintos tipos de datos: listados, calificaciones, sistema, datos u

otros.

Sólo en el caso de Alexia Servidor, cuando el usuario obtenga una copia de forma manual,

punto 5.3 de este manual, Alexia realizará también una copia de los directorios del repositorio,

almacenando una copia de las fotografías y documentos adjuntos, entre otros.


200

7.3 Obtención de una copia de seguridad (Alexia servidor)

7.3.1 Permisos necesarios

Para la obtención de una copia de seguridad el usuario deberá disponer del permiso “400 Copias

de seguridad”.

Para otorgarle dicho permiso, se deberá acceder a la ficha del perfil del usuario. Con el filtro

“Seguridad” Alexia mostrará los permisos correspondientes a este campo. El que ahora ocupa es el que

se muestra resaltado en la siguiente figura.

7.3.2 Proceso de obtención de una copia de seguridad

Para obtener una copia de los archivos de seguridad el usuario de Alexia deberá recorrer la


201

siguiente ruta:

Utilidades\Seguridad\Realizar copias

En el caso de que el Centro educativo esté administrado por un servidor, Alexia mostrará el

mensaje que aparece en la siguiente figura.

En la pantalla el usuario deberá indicar:

• El servidor (que encontrará escrito por defecto).

• La fecha de la copia de seguridad de la que quiere recuperar.

• El destino donde se alojará la copia de seguridad. Si pulsa sobre el botón , emergerá la

pantalla que muestra la siguiente figura.

El usuario deberá indicar al sistema la carpeta donde se alojará la copia y la aplicación mostrará

una última pantalla como la que muestra la siguiente figura.


202

Si el usuario pulsa sobre el botón “Copiar” el sistema alojará la copia en el lugar indicado.

Nota: Cospa&Agilmic recomienda obtener un ejemplar de una copia de seguridad en línea

con la normativa existente.

7.4 Recuperación de copias de seguridad (Alexia Servidor y Alexia Cloud)

Si, por cualquier motivo, el usuario desea restablecer en el sistema una copia de seguridad,

deberá pedir al servicio técnico de Cospa&Agilmic que realice la gestión.

Cuando el Centro educativo solicita a Cospa&Agilmic que recupere en el sistema una copia de

seguridad, el usuario debe saber que Alexia se restablecerá con los datos que dicha copia contiene,

sustituyéndolos por los datos incorporados posteriormente.

Si en el intervalo de tiempo entre la fecha de la copia de seguridad recuperada y el momento en el

que se recupera, el usuario ha realizado tareas dentro del sistema, todos los datos modificados serán

restablecidos según la fecha de la copia de seguridad.

Manual 1.0 correspondiente a la versión 2.5.5.20 de Alexia.

La plataforma se actualiza de forma periódica por lo que le recomendamos que consulte

habitualmente esta página web donde encontrará la última versión del manual con las novedades y

modificaciones realizadas.

Para resolver cualquier duda o consulta, por favor, contacte con nuestro equipo de consultores


203

llamando a nuestro teléfono habitual 902.013.800, o bien enviando un correo electrónico a la dirección:

[email protected] y especifique el aspecto de la LOPD que desee confirmar.

© Cospa&Agilmic

Reservados todos los derechos. Queda expresamente prohibida la reproducción, plagio, distribución o

comunicación pública, parcial o total de estos contenidos, sin la autorización de los titulares de los

correspondientes derechos de la propiedad intelectual.


204

ANEXO XV

SITUACIÓN DEL PROGRAMA SOPHIA EN MATERIA DE PROTECCIÓN DE DATOS

En Barcelona a 15 de mayo de 2013

La compañía Cospa & Agilmic, SLU, tiene la exclusiva en España para la distribución de la

plataforma digital SophiA, que permite la gestión de bibliotecas, siendo posible alojar en ella datos, que la

normativa vigente, califica como de carácter personal. Desde el inicio de esta colaboración, se han

producido distintas consultas puntuales y no sistemáticas, encaminadas a averiguar el grado de

cumplimiento de la normativa de protección de datos tanto de SophiA, así como de aquellos tratamientos

o acceso a datos que el personal de Cospa & Agilmic puede realizar en el marco de los servicios

relacionados con la comercialización de la plataforma (especialmente los servicios de migraciones y

mantenimiento).

En el marco de la auditoría bianual de Cospa & Agilmic, SLU, iniciada el día 17-04-13, para dar

cumplimiento a lo establecido en el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el

que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de

protección de datos de carácter personal, quién firma este documento, recomienda que se proceda a una

auditoría de SophiA con el objeto de dar cumplimiento a lo establecido en el Reglamento

anteriormente citado. Esta recomendación va encaminada tanto a garantizar que los datos que se alojan

en SophiA cumplen unos requisitos mínimos para satisfacer las necesidades del derecho fundamental a la

protección de datos, así como para en el caso que los responsables del tratamiento (clientes, en muchos

casos Administraciones Públicas), soliciten información acerca de la realización de la auditoría requerida,

pueda darse respuesta a dicha solicitud legalmente amparada. Así mismo con la información y

documentación actualmente disponible de SophiA, no puede darse cumplimiento a lo establecido en la

Disposición Adicional Única del RLOPD cuando establece que “Los productos de software destinados al

tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de

seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de

este reglamento.”

A todo esto debe añadirse que SophiA es una aplicación desarrollada en Brasil, país que en el

momento de redacción y firma de este documento, no solamente no tiene una normativa de protección de

datos homologada por la Unión Europea, sino que carece de una normativa general que regule este

derecho que, recordemos, en España y el resto de la UE, tiene carácter de fundamental. En la actualidad,

Brasil únicamente dispone de un proyecto de Normativa de protección de datos (presentado en Abril de

2010) y que actualmente no se ha aprobado. Las únicas normas que regulan de forma general y desde

unos estándares europeos, la protección de datos en Brasil, son las Guías que la OECD publicó en 1980,

a pesar de que dichas normas no tienen un carácter vinculante para los estados firmantes de las mismas.

Esta situación, implicaría, por ejemplo, que un eventual acceso desde Brasil a los datos personales

alojados en SophiA, podría suponer, en caso de no contar con las medidas adecuadas, una transferencia

internacional de datos no permitida, infracción que la LOPD considera muy grave.


205

Debemos tener en cuenta, que en caso de llevar a cabo una transferencia internacional de datos,

porque los datos no se enviaran de forma anónima como se hace en la actualidad, deberíamos cumplir

uno de los siguientes requisitos:

1. Solicitar autorización al Director de la Agencia Española de Protección de Datos.

Para solicitar la autorización se debería facilitar a la Agencia la siguiente

documentación:

• Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.

• Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (Copia Original o fotocopia compulsada).

• Poderes suficientes de los firmantes. • La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados

de Medidas de Seguridad y Colectivos).

Debe tenerse en cuenta que la solicitud de la autorización no es un proceso sencillo y rápido,

más bien al contrario, conlleva un estudio del tema por parte de la Agencia Española de Protección de

Datos y la emisión de la resolución correspondiente, que no es inmediata.

2. Solicitar el consentimiento expreso a las personas afectadas por el alojamiento de sus datos en Brasil.

Por todo ello debe recomendarse que se realice con la máxima diligencia la citada auditoría,

solicitando para ello la colaboración del desarrollador de la plataforma SophiA a los efectos que facilite la

información necesaria para la correcta realización de la misma.

Victor Roselló Mallol, CIPP / E

Auditor de Protección de Datos


206

ANEXO XVI

PROTOCOLO DE ACTUACIÓN DE COSPA & AGILMIC, S.L.U.

EN LA GRABACIÓN DE LAS LLAMADAS

1.- Respecto del trabajador:

La normativa estatal de protección de datos exige, para llevar a cabo las grabaciones de las llamadas telefónicas que efectúe el trabajador, que se informe al trabajador de forma expresa e inequívoca de este hecho y se le ofrezca la posibilidad de ejercer los derechos ARCO (Acceso, rectificación, cancelación y oposición). Todo ello, de conformidad con el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

¿Cómo debe informarse al trabajador?

Mediante circular o correo electrónico que, a modo de ejemplo, puede contener la siguiente información:

El trabajador reconoce haber sido informado de que sus conversaciones

telefónicas exclusivamente profesionales, a través de la línea telefónica

de la empresa pueden ser grabadas, con la finalidad de mejorar el servicio

prestado al cliente y comprobar la calidad del mismo.

Asimismo, se informa al trabajador de que puede ejercer los derechos de

acceso, rectificación, cancelación y oposición mediante carta dirigida a

Cospa&Agilmic, S.L.U., adjuntando fotocopia de su DNI, a C/ Bravo

Murillo, 377, C.P. 28020 de Madrid (España) o mediante correo

electrónico a (indicar email).

Es importante tener en cuenta que no se podrán utilizar las grabaciones para una finalidad distinta a la que se haya informado, en este caso, mejorar el servicio prestado al cliente y comprobar la calidad del mismo. Es decir, si la grabación se hace para controlar al trabajador, esta finalidad debe ser informada, si no la grabación no será válida para el control del trabajador.

En este sentido, se ha pronunciado la Agencia Española de Protección de Datos en diferentes resoluciones e informes, señalar, entre otros, el informe 280/2009.

En ningún caso pueden implementarse estas medidas de grabación, hasta que se haya producido la información previa a los trabajadores.


207

2.- Respecto del Cliente:

La normativa estatal de protección de datos exige que el Cliente sea informado de forma expresa de la grabación de las llamadas. Todo ello, de conformidad con el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

¿Cómo debe informarse al Cliente?

La práctica habitual es que antes de que el Cliente pueda expresarse, se le informe bien personalmente, bien a través de un mensaje automático de la grabación de la llamada.

No obstante, con el fin de evitar que a alguien se le olvide informar al Cliente y para agilizarlo, lo más aconsejable es que se utilice un mensaje automático que, a modo de ejemplo, puede contener la siguiente información:

Con la finalidad de mejorar nuestro servicio, le informamos de que esta

llamada puede ser grabada.

Asimismo, le informamos que, si lo desea, puede obtener más información

en relación a nuestra política de protección de datos en www.cospa-

agilmic.com.

En ningún caso pueden implementarse estas medidas de grabación, hasta que se haya introducido este mensaje previo a la grabación de la conversación.

3.- Medidas de seguridad y documentales internas.

Si la empresa decide grabar las llamadas telefónicas entre sus trabajadores y clientes, debe además de lo ya expuesto:

a) Incluir en el Documento de Seguridad de la empresa que se van a grabar las llamadas telefónicas, así como, el tiempo de archivo de esas grabaciones, el acceso a las grabaciones, medidas de seguridad adoptadas para la protección de ese fichero, etc.

b) Firmar un contrato con el Prestador del Servicio que gestiona el programa de grabación de llamadas, si lo hubiere y si éste tuviere acceso a las grabaciones.

c) Dar de alta un fichero en el Registro General de Protección de Datos. En ningún caso pueden implementarse estas medidas de grabación, hasta que las medidas anteriores hayan sido implementadas.

4.- Consecuencias del incumplimiento de la normativa estatal de protección de datos.

El incumplimiento de los extremos expuestos en este informe puede conllevar la imposición de sanciones por la comisión de una infracción leve por parte de la Agencia Española de Protección de Datos por el tratamiento de datos personales sin la previa


208

inscripción del fichero o por la recogida de datos sin la información previa obligatoria (sanciones entre los 900 euros y los 40.000 euros). Así mismo la falta de implementación de medidas de seguridad o la no inclusión en el Documento de Seguridad del fichero de grabaciones telefónicas, puede suponer una infracción grave de la ley con imposición de sanciones que pueden oscilar entre los 40.000 euros y los 300.000 euros.

Barcelona, a 3 de junio de 2014

Victor Roselló Mallol

Abogado especialista en Protección de Datos

documento de seguridad cospa-agilmic, s.l.u

Documents