Fichero | Descripción | Tipo | Datos | Tratamientos | GDPR | ||||
---|---|---|---|---|---|---|---|---|---|
1 CLIENTES Y PROVEEDORES | Gestión comercial con clientes y proveedores. Incluye datos de contacto de personas físicas que presten servicios a una persona jurídica, inclusive los profesionales individuales | RT | BÁSICO Digital |
I | |||||
2 FISCAL Y CONTABLE | Registro de las obligaciones fiscales y contables sujetas a la actividad económica | RT | BÁSICO Digital |
||||||
3 CONTACTOS | Comunicación, información y gestión sobre productos y servicios. Incluye contactos web y redes sociales | RT | BÁSICO Digital |
I | |||||
4 CURSOS Y TALLERES | Gestión de las Próximas Fechas a los talleres de yoga, tantra, etc… | RT | BÁSICO Digital |
||||||
6 PSICOTERAPIA ONLINE | Psicólogo y solicitante realizan las sesiones conectándose a través de un soporte que permite comunicaciones vía texto, voz y vídeo a través de Skype. | RT | BÁSICO Digital |
I | |||||
7 AUDIOVISUALES | Gestión publicitaria audiovisual. Incluye imágenes (foto/vídeo) y sonido (voz) de personas | RT | BÁSICO Digital |
||||||
8 DERECHOS DEL INTERESADO | Atender las solicitudes de los ciudadanos en el ejercicio de los derechos que establece el GDPR | RT | BÁSICO Digital |
||||||
9 TERAPIAS ALTERNATIVAS | Gestión de los datos personales de los clientes que acuden a la terapia | RT | ESPECIAL Digital |
I | |||||
10 COLABORADORES | Gestión administrativa del personal colaborador, autónomo en la organización | RT | BÁSICO Digital |
||||||
11 VIOLACIONES DE LA SEGURIDAD | Registro, gestión y resolución de las brechas de seguridad en protección de datos. | RT | BÁSICO Digital |
Principios del tratamiento | Riesgos | |
Legitimación del tratamiento (licitud) | Tratamiento lícito SIN NECESIDAD DE CONSENTIMIENTO por un INTERÉS LEGÍTIMO del Responsable del tratamiento o Tercero | 2 Bajo |
Finalidad del tratamiento (limitación de los fines) | Gestión COMERCIAL | 0 Sin riesgo |
Actualización de datos (exactitud) | NO EXISTEN PROCEDIMIENTOS para la actualización de datos | 4 Alto |
Conservación de datos (limitación del plazo de conservación) | Conservados durante MÁS TIEMPO DEL NECESARIO para alcanzar los fines para fines de archivo SIN AUTORIZACIÓN del interesado | 4 Alto |
Responsabilidad del tratamiento | ||
Encargados del tratamiento (ET) | Los datos NO SON TRATADOS por Encargados del tratamiento | 0 Sin riesgo |
Destinatarios de datos | Los datos NO SON COMUNICADOS a terceros, salvo obligación legal | 0 Sin riesgo |
Política de información | ||
Transparencia de la información | La información facilitada NO ES SUFICIENTEMENTE CLARA | 4 Alto |
Información básica del tratamiento | Los datos SE OBTIENEN DEL INTERESADO y NO SE INFORMA del Responsable, finalidad, base jurídica, criterios de conservación, comunicación de datos o derechos del interesado | 4 Alto |
Información específica de transferencias internacionales | NO SE INFORMA al interesado de que los datos pueden ser transferidos a países fuera de la UE, o de las GARANTÍAS ADECUADAS de protección de datos | 4 Alto |
Comunicación de la información al interesado | Los datos SE OBTIENEN DEL INTERESADO pero NO SE COMUNICA la información en el momento de la obtención de datos | 4 Alto |
Comunicación de datos a terceros | NO SE INFORMA de los Destinatarios o categorías de Destinatarios a los que SE COMUNICAN los datos | 4 Alto |
Política de seguridad | ||
Riesgos del tratamiento | SE HA ANALIZADO el tratamiento y NO EXISTE la probabilidad de un ALTO RIESGO para los derechos y libertades de los interesados | 2 Bajo |
Medidas de protección de datos | ||
Acceso a documentos | NO SE APLICAN medidas adecuadas para impedir el acceso a personas no autorizadas | 5 Muy alto |
Protección de equipos y redes informáticas | NO SE HAN INSTALADO dispositivos y/o aplicaciones para proteger los equipos informáticos o NO se mantienen actualizados | 5 Muy alto |
Copias de respaldo | NO SE REALIZAN copias de seguridad externas, como mínimo semanalmente, y NO se guardan con medidas de seguridad | 5 Muy alto |
Conservación de datos | Se guardan en mobiliario o departamentos CON ACCESO DIRECTO a los datos | 4 Alto |
Destrucción de datos | NO SE DESTRUYEN o suprimen con medidas de seguridad (manualmente, papelera, empresa de residuos no homologada, etc.) | 5 Muy alto |
Transferencias internacionales | SIN GARANTÍAS ADECUADAS de protección de datos | 5 Muy alto |
2 FISCAL Y CONTABLE | Registro de las obligaciones fiscales y contables sujetas a la actividad económica | RT | BÁSICO Digital |
||||||
En rojo indica sancionable
|
3 CONTACTOS | Comunicación, información y gestión sobre productos y servicios. Incluye contactos web y redes sociales | RT | BÁSICO Digital |
I | |||||
En rojo indica sancionable
|
4 CURSOS Y TALLERES | Gestión de las Próximas Fechas a los talleres de yoga, tantra, etc… | RT | BÁSICO Digital |
||||||
|
6 PSICOTERAPIA ONLINE | Psicólogo y solicitante realizan las sesiones conectándose a través de un soporte que permite comunicaciones vía texto, voz y vídeo a través de Skype. | RT | BÁSICO Digital |
I | |||||
|
7 AUDIOVISUALES | Gestión publicitaria audiovisual. Incluye imágenes (foto/vídeo) y sonido (voz) de personas | RT | BÁSICO Digital |
||||||
|
8 DERECHOS DEL INTERESADO | Atender las solicitudes de los ciudadanos en el ejercicio de los derechos que establece el GDPR | RT | BÁSICO Digital |
||||||
|
9 TERAPIAS ALTERNATIVAS | Gestión de los datos personales de los clientes que acuden a la terapia | RT | ESPECIAL Digital |
I | |||||
|
10 COLABORADORES | Gestión administrativa del personal colaborador, autónomo en la organización | RT | BÁSICO Digital |
||||||
|
11 VIOLACIONES DE LA SEGURIDAD | Registro, gestión y resolución de las brechas de seguridad en protección de datos. | RT | BÁSICO Digital |
||||||
|
organizacion
delegaciones
Nombre | Dirección | Población | Provincia | Dirección Autoridad control |
Dirección Derechos interesado |
|
---|---|---|---|---|---|---|
1 | SEDE PRINCIPAL | c/ Felipe II, entresuelo 3 | Barcelona | Barcelona | Si | Si |
departamentos
Nombre | Delegación | Descripción | Ficheros | |
---|---|---|---|---|
1 | OFICINA | 1 SEDE PRINCIPAL | Gestión de la empresa | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
recursos
Software
Nombre | Tipo | Departamentos | Ficheros | Medidas | |
---|---|---|---|---|---|
ADOBE ACROBAT Lector de PDF |
Bases de datos | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: Transmisión de datos: Registro de accesos: |
|
CORREO ELECTRÓNICO Programa para la gestión de comunicaciones electrónicas |
Gestión comercial | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: Transmisión de datos: Registro de accesos: |
|
DROPBOX Alojamiento de archivos multiplataforma en la nube |
Bases de datos | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: No existe un control de accesos no autorizados a la aplicación Es obligatorio activar mecanismos que impidan los intentos reiterados no autorizados. Transmisión de datos: No se transmiten datos desde la aplicación Registro de accesos: No existe un registro de accesos a la aplicación (sistemas tradicionales) |
|
GESTIÓN DE PRIVACIDAD Adaptación y mantenimiento de las normativas de privacidad GDPR- LOPD-LSSICE |
Gestión administrativa | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 8 – DERECHOS DEL INTERESADO 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: Transmisión de datos: Registro de accesos: |
|
PAGES Programa de ofimática |
Oficina | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: Transmisión de datos: Registro de accesos: |
|
WETRANSFER Transferencia de archivos informáticos basado en la nube |
Otros | 1 – OFICINA | 1 – CLIENTES Y PROVEEDORES 3 – CONTACTOS 9 – TERAPIAS ALTERNATIVAS |
Control de acceso: Acceso regido por el control de acceso a los equipos informáticos. Accesos no autorizados: No existe un control de accesos no autorizados a la aplicación Es obligatorio activar mecanismos que impidan los intentos reiterados no autorizados. Transmisión de datos: No se transmiten datos desde la aplicación Registro de accesos: No existe un registro de accesos a la aplicación (sistemas tradicionales) |
hardware
epartamento | Nombre | Tipo | Cantidad | Ficheros | Medidas | |
---|---|---|---|---|---|---|
1 OFICINA | MÓVIL | Otro | 1 | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Usuario y contraseña personalizados. | |
1 OFICINA | PORT – DESPACHO Administración |
Portátil | 2 | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Usuario y contraseña personalizados. |
mobiliario (vuit)
soportes
Departamento | Nombre | Tipo | Cantidad | Ficheros | Medidas | Fecha baja | |
---|---|---|---|---|---|---|---|
1 | No contiene datos personales | No contiene datos personales | |||||
1 OFICINA | DISCO DURO | Disco duro portátil | 2 | 1 – CLIENTES Y PROVEEDORES 2 – FISCAL Y CONTABLE 3 – CONTACTOS 4 – CURSOS Y TALLERES 6 – PSICOTERAPIA ONLINE 7 – AUDIOVISUALES 8 – DERECHOS DEL INTERESADO 9 – TERAPIAS ALTERNATIVAS 10 – COLABORADORES 11 – VIOLACIONES DE LA SEGURIDAD |
Control de acceso: Guardado en Mobiliario o Departamento con medidas de seguridad. Sistema de etiquetado: Etiqueta que no identifica los datos del soporte. Medidas de seguridad para el transporte fuera de la empresa: |
seguridad
- Riesgos
- Confidencialidad de la información
- Sistemas de información
- Integridad de la información
- Tratamientos específicos
- Organización
Información del tratamiento al interesado | |||
¿Se informa al interesado de los detalles del tratamiento? |
|
||
¿Se informa al interesado de los derechos que le asisten? |
|
Sistema de identificación y autenticación | |||
Intentos reiterados de acceso |
|
Disponibilidad de los datos | |||
Sistemas de detección de intrusos y prevención de fuga de información |
|
||
Disponibilidad de los servicios de información |
|
||
Restauración de los servicios de información |
|
||
Resiliencia de los servicios de información |
|
||
Procesos de verificación, evaluación y valoración de las medidas de seguridad |
|
Organización | |||
Formación en protección de datos |
|
Información del tratamiento al interesado
|
||
¿Se informa al interesado de los detalles del tratamiento? |
No se utilizan cláusulas para informar del tratamiento al interesado
Se deberá facilitar la información específica del tratamiento de forma clara y transparente. |
|
¿Se informa al interesado de los derechos que le asisten? |
No se utilizan cláusulas para informar de los derechos del interesado.
Se deberá facilitar la información de todos los derechos que asisten al interesado. |
Transporte y transmisión de datos
|
||
Transporte de los soportes dentro de la empresa |
NO SE TRANSPORTAN soportes dentro de la Empresa.
|
|
Transporte de los soportes fuera de la empresa |
Por personal autorizado por el Responsable del tratamiento con medidas de seguridad.
|
Procedimientos con datos automatizados (digital)
|
||
Acceso durante el tratamiento digital (pantallas) |
Se tratan impidiendo la visión de los datos a personas no autorizadas.
|
|
Almacenamiento de los soportes digitales |
Se guardan en la casa particular de las personas autorizadas por el Responsable del Fichero.
|
|
Destrucción de soportes digitales |
Formatean
|
Procedimientos con datos no automatizados (documentos)
|
||
Acceso durante el tratamiento manual (documentos) |
NO SE TRATAN documentos con datos personales a la vista de personas no autorizadas.
|
|
Almacenamiento de documentos |
NO EXISTEN documentos que contengan datos personales.
|
|
Destrucción de documentos |
NO EXISTEN documentos que contengan datos personales.
|
Registro de accesos a categorías especiales de datos
|
||
¿Se lleva un registro de accesos a categorías especiales de datos? |
No, porque el ÚNICO USUARIO que accede a datos es el Responsable del tratamiento
|
|
Observaciones |
Acceso a equipos informáticos
|
||
Control de acceso a equipos informáticos |
Usuario y contraseña personalizados.
|
|
Control de acceso a ficheros con datos personales |
Acceso regido por el control de acceso a los equipos informáticos.
|
|
Otros tipos de acceso a equipos informáticos |
Ninguno
|
Acceso a redes informáticas
|
||
Acceso directo a los sistemas de información (conexión de red) |
Usuario y contraseña personalizados.
|
|
Acceso inalámbrico a los sistemas de información (Wifi, Bluetooth, etc.) |
Acceso restringido por clave de seguridad.
|
|
Acceso remoto a los sistemas de información |
NO SE REALIZAN conexiones remotas.
|
|
Cifrado de las conexiones remotas |
NO SE REALIZAN conexiones remotas.
|
Sistema de identificación y autenticación
|
||
Sistema de identificación (USUARIO) |
Palabra identificativa y personalizada para cada usuario.
|
|
Sistema de autenticación (CONTRASEÑA) |
Contraseña personalizada para cada usuario.
|
|
Cifrado de la contraseña |
La contraseña está cifrada
|
|
Combinación de caracteres |
La contraseña se compone al menos de 8 caracteres, con algún número, mayúscula y minúscula
|
|
Intentos reiterados de acceso |
Se tratan categorías especiales de datos, pero no se ha implementado ningún sistema que impida los intentos reiterados no autorizados
Cuando se traten categorías especiales de datos se debe implementar un sistema que impida los intentos reiterados no autorizados. |
|
Caducidad de la contraseña |
La contraseña se cambia al menos una vez al año
|
|
Observaciones |
Copias de respaldo
|
||
Ubicación de las copias |
Disco duro
|
|
Periodicidad de programación |
Semanalmente, como mínimo.
|
|
Periodicidad de comprobación de datos |
Como máximo, 6 meses desde la creación.
|
|
Método de comprobación de datos |
Apertura manual de varios archivos.
|
Copias de respaldo externas
|
||
Ubicación de las copias externas |
Servicios Backup de Internet.
|
|
Periodicidad de programación de las copias externas |
Semanalmente, como mínimo.
|
|
Cifrado de los datos de las copias externas |
NO se cifran las copias porque no salen de los locales de la empresa.
|
Disponibilidad de los datos
|
||
Actualización de software |
SE ACTUALIZAN periódicamente los sistemas operativos y las aplicaciones informáticas con las últimas versiones disponibles
|
|
Sistemas de detección de intrusos y prevención de fuga de información |
NO EXISTEN sistemas adecuados de detección de intrusos y de prevención de fuga de información
Se deben implementar sistemas adecuados de detección de intrusos y de prevención de fuga de información. |
|
Disponibilidad de los servicios de información |
NO SE HAN TOMADO SUFICIENTES medidas para garantizar la disponibilidad de los datos
Se deben tomar medidas adecuadas para garantizar la disponibilidad de los servicios de información. |
|
Restauración de los servicios de información |
NO SE HAN TOMADO SUFICIENTES medidas para restaurar rápidamente la disponibilidad y el acceso a los datos
Se deben tomar medidas adecuadas para restaurar rápidamente la disponibilidad y el acceso a los datos |
|
Resiliencia de los servicios de información |
NO SE HAN TOMADO SUFICIENTES medidas para anticiparse y adaptarse a cambios imprevistos en los servicios de información
Se deben tomar medidas adecuadas para garantizar la resiliencia de los servicios de información. |
|
Procesos de verificación, evaluación y valoración de las medidas de seguridad |
NO SE HAN ESTABLECIDO SUFICIENTES procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad
Se deben establecer procesos para verificar, evaluar y valorar la eficacia de las medidas de seguridad adoptadas. |
Tratamientos específicos
|
||
Tratamiento de datos de niños menores de 14 años |
NO SE REALIZAN tratamientos de datos de niños menores de 14 años
|
|
Tratamiento de datos de personas en situación de vulnerabilidad |
NO SE REALIZAN tratamientos de datos de personas en situación de vulnerabilidad
|
|
Tratamiento de datos que puede invadir la intimidad de las personas |
Se tratan datos HABITUALMENTE que pueden invadir la intimidad de las personas y NO EXISTE riesgo para sus derechos y libertades
|
|
Vulneración de los derechos y libertades fundamentales |
NO SE REALIZAN tratamientos que vulneren los derechos o libertades fundamentales
|
Organización
|
||
Política de información |
EXISTE un protocolo documentado para informar y comunicar el tratamiento al interesado
|
|
Derechos del interesado |
EXISTE un protocolo documentado para gestionar y registrar los derechos del interesado
|
|
Política de seguridad |
EXISTE un protocolo documentado para garantizar la seguridad de los datos personales y su protección desde el DISEÑO Y POR DEFECTO
|
|
Violaciones de la seguridad |
EXISTE un protocolo documentado para gestionar y registrar las violaciones de la seguridad
|
|
Formación en protección de datos |
NO se facilita suficiente formación al personal autorizado para tratar datos
Se deben tomar las medidas oportunas para que personal autorizado para tratar datos obtenga una formación adecuada en protección de datos. |
|
Delegado de protección de datos (DPO) |
No precisa un DPO porque la actividad principal de la empresa CONSISTE en tratar datos personales pero NO a GRAN ESCALA, ni regulados en el art. 34 de la LOPDGDD.
|
|
Evaluación de impacto (DPIA) |
No precisa realizar una DPIA porque el tratamiento no comporta un alto riesgo para los derechos y libertades de las personas físicas.
|