Ética, buen gobierno y transparencia
102
les en el Grupo Tragsa, además de otra serie de normas internas y
procedimientos, como son los de
Análisis y evaluación de impac-
to, de Brechas de seguridad, de Transferencias Internacionales
de Datos, y de Tratamiento de imágenes y voz.
Análisis de Riesgos
Tomando como activos a analizar los registros de tratamientos en
los que las empresas del Grupo Tragsa actúan como responsables,
se finalizó en septiembre de 2019 un análisis de riesgos elaborado
en base a la metodología MAGERIT. También se elaboró
procedi-
miento para el análisis de riesgos
que forma parte de la nueva
normativa interna. En base a los riesgos detectados, se analizarán
las medidas de seguridad.
Medidas de seguridad y quiebras
La Disposición Adicional Primera de la LOPDyGDD, exige que,
cuando se preste un servicio a las Administraciones Públicas por
parte de un Encargado, como es el caso de las empresas del Grupo
Tragsa, se cumplan las medidas compensatorias o equivalentes
de seguridad a las del Esquema Nacional de Seguridad (ENS).
En este sentido la Subdirección de Sistemas y Aplicaciones Cor-
porativas y la Subdirección de Sistemas de Información, son las
unidades responsables de la implantación del ENS. Para minimi-
zar los riesgos relacionados con la seguridad de la información, el
Grupo Tragsa dispone de un
Sistema de Gestión de Seguridad de
la Información conforme a la norma UNE-ISO/IEC 27001:2014
(ver apartado “Riegos de seguridad de la información”). Además,
la oficina de la DPD ha elaborado una Declaración de aplicabilidad
(SOA) del ENS de categoría básica.
Evaluaciones de impacto
Como ya se expuso anteriormente, se ha elaborado un
procedi-
miento
para la elaboración de análisis de riesgos y
evaluaciones
de impacto
, en el que se propone una metodología y una herra-
mienta para la realización de las Evaluaciones de Impacto.
Formación y concienciación
A 31 de diciembre de 2019 el total de personal formado presen-
cialmente y
on line
, en el Grupo ha superado las 1600 personas.
Está previsto que los cursos de formación continúen en 2020 in-
cluyendo la realización de un curso
on line
actualizado, en el que
se contemplen los requerimientos de la normativa interna.
En materia de concienciación, se ha realizado un video, y publica-
do banners y noticias sobre ciberseguridad en la intranet, junto a
la Subdirección de Sistemas de información. Además, se han man-
tenido reuniones informativas con las unidades de sede y todas
las Unidades Territoriales.
Asesoría, resolución de consultas y de reclamaciones, previas o
posteriores, a las presentadas ante la AEPD.
Se han cursado más de 350 consultas por escrito, además de las
telefónicas, que han generado en la gran mayoría de las ocasiones
el análisis jurídico y su respuesta. Con respecto a las reclamacio-
nes ante la AEPD, no se ha recibido ninguna hasta el momento, si
bien han existido a nivel interno 2 brechas de seguridad que fue-
ron comunicadas en plazo a la Autoridad de Control, sin perjuicio
de la adopción de las medidas internas correspondientes con ob-
jeto de proteger y garantizar los derechos de los eventualmente
afectados.
Documentación de las actuaciones realizadas
Cabe indicar que las acciones realizadas por la DPD y la unidad
de datos personales se encuentran debidamente documentadas.
Cumplimiento normativo
En el Grupo Tragsa existen distintos procedimientos documen-
tados para prevenir el riesgo de incumplimiento de requisitos