Previous Page  102 / 296 Next Page
Information
Show Menu
Previous Page 102 / 296 Next Page
Page Background

Ética, buen gobierno y transparencia

102

les en el Grupo Tragsa, además de otra serie de normas internas y

procedimientos, como son los de

Análisis y evaluación de impac-

to, de Brechas de seguridad, de Transferencias Internacionales

de Datos, y de Tratamiento de imágenes y voz.

Análisis de Riesgos

Tomando como activos a analizar los registros de tratamientos en

los que las empresas del Grupo Tragsa actúan como responsables,

se finalizó en septiembre de 2019 un análisis de riesgos elaborado

en base a la metodología MAGERIT. También se elaboró

procedi-

miento para el análisis de riesgos

que forma parte de la nueva

normativa interna. En base a los riesgos detectados, se analizarán

las medidas de seguridad.

Medidas de seguridad y quiebras

La Disposición Adicional Primera de la LOPDyGDD, exige que,

cuando se preste un servicio a las Administraciones Públicas por

parte de un Encargado, como es el caso de las empresas del Grupo

Tragsa, se cumplan las medidas compensatorias o equivalentes

de seguridad a las del Esquema Nacional de Seguridad (ENS).

En este sentido la Subdirección de Sistemas y Aplicaciones Cor-

porativas y la Subdirección de Sistemas de Información, son las

unidades responsables de la implantación del ENS. Para minimi-

zar los riesgos relacionados con la seguridad de la información, el

Grupo Tragsa dispone de un

Sistema de Gestión de Seguridad de

la Información conforme a la norma UNE-ISO/IEC 27001:2014

(ver apartado “Riegos de seguridad de la información”). Además,

la oficina de la DPD ha elaborado una Declaración de aplicabilidad

(SOA) del ENS de categoría básica.

Evaluaciones de impacto

Como ya se expuso anteriormente, se ha elaborado un

procedi-

miento

para la elaboración de análisis de riesgos y

evaluaciones

de impacto

, en el que se propone una metodología y una herra-

mienta para la realización de las Evaluaciones de Impacto.

Formación y concienciación

A 31 de diciembre de 2019 el total de personal formado presen-

cialmente y

on line

, en el Grupo ha superado las 1600 personas.

Está previsto que los cursos de formación continúen en 2020 in-

cluyendo la realización de un curso

on line

actualizado, en el que

se contemplen los requerimientos de la normativa interna.

En materia de concienciación, se ha realizado un video, y publica-

do banners y noticias sobre ciberseguridad en la intranet, junto a

la Subdirección de Sistemas de información. Además, se han man-

tenido reuniones informativas con las unidades de sede y todas

las Unidades Territoriales.

Asesoría, resolución de consultas y de reclamaciones, previas o

posteriores, a las presentadas ante la AEPD.

Se han cursado más de 350 consultas por escrito, además de las

telefónicas, que han generado en la gran mayoría de las ocasiones

el análisis jurídico y su respuesta. Con respecto a las reclamacio-

nes ante la AEPD, no se ha recibido ninguna hasta el momento, si

bien han existido a nivel interno 2 brechas de seguridad que fue-

ron comunicadas en plazo a la Autoridad de Control, sin perjuicio

de la adopción de las medidas internas correspondientes con ob-

jeto de proteger y garantizar los derechos de los eventualmente

afectados.

Documentación de las actuaciones realizadas

Cabe indicar que las acciones realizadas por la DPD y la unidad

de datos personales se encuentran debidamente documentadas.

Cumplimiento normativo

En el Grupo Tragsa existen distintos procedimientos documen-

tados para prevenir el riesgo de incumplimiento de requisitos