POLÍTICA DE SEGURETAT I PRIVACITAT DE LA INFORMACIÓ

1 - INTRODUCCIÓ

MC MUTUAL és una entitat sense ànim de lucre, autoritzada pel Ministeri de Treball, Migracions i Seguretat Social, amb el principal objectiu de col•laborar en la gestió de la Seguretat Social i proporcionar, als seus mutualistes, l'assistència sanitària i cobertura econòmica derivades de les prestacions que li siguin atribuïdes pel Ministeri anteriorment esmentat. MC MUTUAL també està molt compromesa amb la prevenció de riscos laborals i la reducció de la sinistralitat laboral.

La Direcció de MC MUTUAL considera la informació un actiu essencial per al compliment adequat de la seva missió. Assumeix que, per a la consecució dels seus objectius, depèn dels sistemes TIC (Tecnologia d'Informació i Comunicacions) i que la seguretat de la informació és una responsabilitat associada per a la protecció contra les amenaces que puguin afectar la seva confidencialitat, privacitat, integritat i / o disponibilitat, pel que és diligent i pren les mesures adequades.

Com a part d'aquesta estratègia, la Direcció de MC MUTUAL defineix, a través d'aquest document, la seva Política de Seguretat i privacitat de la Informació. La mateixa, complementa les polítiques de Seguretat, Privacitat i de gestió de riscos de l'Entitat, en diferents matèries, les quals consten en els procediments i documents elaborats a aquest efecte; i es desenvolupa per mitjà de normativa de seguretat que afronta aspectes específics.

2 - OBJECTIU

L'objectiu d'aquesta Política és definir les directrius i principis d'actuació que regeixen la manera en què MC MUTUAL gestiona i protegeix la seva informació i els seus serveis en matèria de seguretat, per tal de garantir la qualitat, la privacitat, la integritat, la disponibilitat i, especialment, la confidencialitat de la informació de la Mútua.

MC MUTUAL, es basa en els principis i requisits del Reglament Europeu de Protecció de Dades (RGPD), de la Llei Orgànica 3/2018, 5 de desembre, de Protecció de Dades Personals i garantia de drets digitals (LOPDGDD) i de l'Esquema Nacional de Seguretat (ENS) per a la definició del seu sistema de gestió de seguretat de la informació. Aquesta decisió es fonamenta en la consideració de la seguretat no com un estat, sinó com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats.

La política de la mútua es basa en què tots els departaments han d'estar preparats per a la prevenció, detecció, resposta i recuperació d'incidents de seguretat de la informació.

Prevenció

Per evitar, o almenys prevenir, que la informació i els serveis no es vegin compromesos pels incidents de seguretat, MC MUTUAL implementa les mesures de seguretat establertes pel RGPD, la LOPDGDD i l'ENS, així com qualsevol altre control addicional que s’identifiqui com a necessari a través de l'avaluació d'amenaces i riscos. Per garantir el compliment de la política de seguretat i privacitat, MC MUTUAL:

  • Autoritza els sistemes abans d'entrar en operació.
  • Avalua regularment la seguretat, incloent anàlisi dels canvis de configuració realitzats.
  • Sol•licita la revisió periòdica per part de tercers amb la finalitat d'obtenir una avaluació independent.

Detecció

MC MUTUAL estableix mecanismes de monitorització, anàlisi i informe continus per detectar anomalies o desviacions significatives en els nivells de prestació dels serveis i així actuar en conseqüència.

Resposta

MC MUTUAL compta amb procediments de resposta i comunicació eficaç davant els incidents de seguretat. Existeixen diverses figures que executen aquests procediments i que canalitzen les comunicacions pel que fa a incidents detectats en altres organismes per a l'intercanvi d'informació relacionada amb l'incident en ambdues direccions.

Recuperació

Per garantir la disponibilitat dels serveis crítics, MC MUTUAL ha desenvolupat plans de continuïtat dels sistemes TIC com a part del seu pla general de continuïtat del servei i activitats de recuperació.

3 - ABAST I ÀMBIT D'APLICACIÓ

La Direcció de MC MUTUAL, el personal adscrit, personal subcontractat i proveïdors han d'estar subjectes als requeriments que es deriven d'aquesta Política, sempre que utilitzin o accedeixin a la informació de MC MUTUAL, amb independència de la seva ubicació.

En aquest sentit, els diferents agents amb accés a la informació estan obligats a conèixer aquesta Política (en el que els pugui afectar) i a comprometre a preservar la seguretat de la informació i, en particular, la seva confidencialitat, integritat, disponibilitat i privacitat.

Les relacions amb aquests agents han d'estar emparades sempre pels contractes de prestació de serveis corresponents, incloent clàusules de privacitat i protecció de dades personals.

Quant a l'àmbit material es refereix, es considera objecte d'aquesta política la informació emmagatzemada i/o en procés de tractament o transmissió, independentment dels mitjans emprats per a tals fins.

La present Política de Seguretat i privadesa de la informació serà d'aplicació en totes les fases del cicle de vida de les dades personals: generació, tractament, distribució, emmagatzematge, transport, consulta i destrucció; així com dels sistemes que els processen: anàlisi, disseny, desenvolupament, implantació, explotació i manteniment.

Així mateix, la present Política és d'aplicació a tots els processos de MC MUTUAL que involucrin el tractament de dades de caràcter personal, que al seu torn suposin l'exercici del dret a l'habeas data (dret a la protecció de les dades personals) per part dels seus titulars.

MC MUTUAL ha d'adoptar en tot moment accions destinades a preservar els principis bàsics relatius al tractament de dades de caràcter personal, mitjançant els quals les dades són:

a) tractades de manera lícita, lleial i transparent ( «licitud, lleialtat i transparència»), de manera que sempre que el titular de les dades personals ho sol•liciti, MC MUTUAL li facilitarà la informació relativa a les seves dades que reposin en les bases de dades de MC MUTUAL ;
b) recollides amb fins determinats, explícits i legítims, i no tractades ulteriorment de manera incompatible amb dits fins ( «limitació de la finalitat»), és a dir, MC MUTUAL recull les dades per a una finalitat concreta i legítima, i sempre amb el consentiment previ del titular d'aquestes dades;
c) adequades, pertinents i limitades als fins per als quals són tractats ( «minimització de dades»), recollint únicament les dades necessàries per a la finalitat del tractament;
d) exactes i actualitzades en tot moment, adoptant mesures perquè es suprimeixin o rectifiquin sense dilació les dades inexactes ( «exactitud»);
e) mantingudes estrictament durant el temps necessari ( «limitació del termini de conservació»), segons la finalitat del tractament;
f) segures, garantint la seguretat, inclosa la protecció contra el tractament no autoritzat o il•lícit, pèrdua, destrucció o dany accidental ( «integritat i confidencialitat»);
g) tractades pel responsable del tractament, el qual és responsable del compliment i capaç de demostrarl o ( «responsabilitat proactiva»).

4 - ORGANITZACIÓ DE LA SEGURETAT

La Política de Seguretat i privacitat de la Informació, estableix les directrius en les que MC MUTUAL ha de perseverar per obtenir un sistema eficient i eficaç de gestió. Per complir amb aquest propòsit, s'ha establert un cos normatiu que desenvolupa diferents aspectes d'aquesta Política, i els procediments administratius i de seguretat associats a aquest.

La Direcció General de MC MUTUAL és la responsable de la seva aprovació, i potència i lidera el coneixement i difusió d'aquesta Política a tots els nivells, atès que interpreta aquest factor com a crític per assegurar la seva implantació eficaç i efectiva.

MC MUTUAL, en compliment dels principis bàsics del RGPD, la LOPDGDD i l'ENS, ha estructurat organitzativament la gestió de la seguretat de la informació com una funció diferenciada, establint un model organitzatiu propi.

Els diferents llocs són nomenats per la Direcció General a instàncies del Comitè de Política de Seguretat. Aquests nomenaments es revisen periòdicament o quan un lloc queda vacant.

4.1. Comitès: funcions i responsabilitats

4.1.1. Comitè de Política de Seguretat (CPS)

La seva funció és la de definir la política i marcar les directrius corporatives relatives a la seguretat i privacitat. Així mateix, és responsable de la definició, manteniment, revisió i millora de la normativa vigent en matèria de protecció de dades, així com de la coordinació de les accions i de la racionalització dels recursos necessaris per implantar les diferents mesures de seguretat que es requereixin i resoldre els conflictes entre els diferents perfils i prendre les decisions pertinents, tenint sempre en compte la precedència legal.

En termes de l'Esquema Nacional de Seguretat, el Comitè de Política de Seguretat assumeix les funcions del Responsable de la Informació i del Servei.

Aquest comitè és l'encarregat, per delegació de la Direcció General, de definir i divulgar l'estratègia de MC MUTUAL en matèria de seguretat de la informació.

El Comitè de Política de Seguretat reporta a la Direcció General de MC MUTUAL i és el responsable de determinar i aprovar els nivells de seguretat de la informació i dels serveis atenent als requisits de disponibilitat, accessibilitat i interoperabilitat, així com de l'acceptació de els riscos residuals.

És també responsable de la definició, manteniment, revisió i millora del Sistema de Seguretat de la Informació i de la Política de Seguretat i privacitat de la Informació, en compliment de l'ENS i de la normativa vigent en matèria de protecció de dades, així com de la coordinació de les accions i de la racionalització dels recursos necessaris per implantar les diferents mesures de seguretat que es requereixin.

Són, al seu torn, els responsables de l'avaluació de riscos dels sistemes i tractaments d'informació de la Mútua, delegant aquesta funció en el Responsable de Seguretat de la Informació que, en aquest cas, recau en la figura del Delegat de Protecció de dades.

Així mateix, és responsabilitat del Comitè de Política de Seguretat, resoldre els conflictes entre els diferents perfils i prendre les decisions pertinents, tenint sempre en compte la precedència legal.

4.1.2. Comitè Operatiu de Seguretat (COS)

Es disposa també d'un Comitè Operatiu de Seguretat que és l'encarregat d'abordar i dur a terme la gestió dels temes més operatius, donant suport al Comitè de Política de Seguretat en el desenvolupament de la normativa corresponent, la conscienciació i formació al personal, i l'adequació i millora de la seguretat en els sistemes d'informació.

4.2. Responsable de Seguretat de la Informació

A MC MUTUAL la figura del Responsable de Seguretat de la Informació segons l'ENS és determinat per la Direcció General i correspon al Delegat de Protecció de Dades, qui assumeix la responsabilitat de mantenir la seguretat de la informació i dels serveis prestats pels sistemes de informació, en el seu àmbit de responsabilitat.

Com Delegat de Protecció de Dades assumeix també les funcions assignades en el RGPD, i vetlla pel compliment dels principis de confidencialitat, integritat, disponibilitat i privacitat de les dades de MC MUTUAL.

El Delegat de Protecció de Dades supervisa el compliment de la normativa legal i polítiques de MC MUTUAL en matèria de protecció de dades personals i assessora i informa al Responsable del Tractament, Encarregat del Tractament i personal de MC MUTUAL sobre el tractament de dades personals, a més de ser punt de contacte d'interessats i de l'Autoritat de Control.

4.3. Responsable del Sistema

La Direcció de Sistemes d'Informació és la Responsable del Sistema d'acord amb els requisits de l'ENS, i assumeix la responsabilitat de determinar les decisions per satisfer els requisits de seguretat de la informació dels serveis prestats.

4.4. Altres unitats

L'obligació dels empleats i personal extern amb accés a la informació de la Mútua és conèixer i complir amb el que disposa aquesta Política. Així mateix, han de col•laborar, sempre que els sigui sol•licitat, en les verificacions de compliment que es realitzen de la mateixa.

En aquest sentit, la direcció de la Divisió Sistemes d'Informació i els diferents responsables dels Departaments adscrits a aquesta Divisió coneixeran el contingut d'aquest document i col•laboraran activament per aplicar, en el seu àmbit de responsabilitat, que disposa aquesta Política de Seguretat i privadesa de la Informació. D'altra banda, els responsables d'Auditoria Interna coneixeran també el document i podran verificar el nivell de compliment del mateix.

Seran els propietaris de cada procés de contractació els responsables que els documents continguin clàusules relatives a l'acceptació, per part dels adjudicataris, d'aquesta Política de Seguretat i privacitat de la Informació, i és responsabilitat de l'àrea de gestió corresponent, la seva difusió entre el personal de la mateixa que tingui la consideració de personal extern.

Els propietaris dels diferents procediments interns s'han d'assegurar que aquests documents prevegin de forma adequada la Política de Seguretat i privacitat de la Informació.

Per gestionar de manera eficient la Seguretat de la Informació, cada un dels departaments de MC MUTUAL on estigui en risc la Seguretat (bé en l'operació, servei i / o funcionalitat del departament), haurà de complir les normes i els procediments que corresponguin. Totes aquestes normes i procediments estaran ratificats per la Direcció.

5 - FORMACIÓ I CONSCIENCIACIÓ

MC MUTUAL considera que el mètode més efectiu de millorar la seguretat i la protecció de dades personals és mitjançant el desenvolupament d'una cultura formativa eficaç i universal a tots els seus treballadors a través de la formació i capacitació continuada, i en la seva incorporació a l'activitat laboral.

MC MUTUAL es compromet a desenvolupar i executar plans de formació, al seu personal, de manera contínua. En aquests plans s'inclouran cursos específics sobre protecció de dades personals i seguretat de la informació, d'acord s amb l'àrea destinatària: Direcció, tècnics, administradors, usuaris dels sistemes, etc.

Així mateix, es realitzaran campanyes de conscienciació i informació sobre protecció de dades personals dirigides a tot el personal, proveïdors i tercers de MC MUTUAL, a través del mitjà que es consideri més efectiu.

6 - CONSULTES I PETICIONS

MC MUTUAL posa a disposició del seu personal, tercers o qualsevol altre interessat titular dades personals que reposin en les bases de dades i / o sistemes d'informació propietat de la Mútua, diversos canals de comunicació per rebre i atendre peticions, consultes i reclamacions per part dels seus titulars de manera que aquests puguin exercir els seus drets d'accés, rectificació, supressió, limitació, a decidir sobre tractaments automatitzats, portabilitat, informació, reclamació i oposició al tractament de les seves dades personals contingudes en bases de dades i a revocar la autorització que hagin atorgat pel tractament dels mateixos.

MC MUTUAL es compromet a donar resposta a totes les peticions, consultes i reclams a la major celeritat i sempre dins dels terminis marca dos pel Reglament i la LOPD GDD.

7 - AUDITORIA

MC MUTUAL, en el seu compromís de millora contínua, ha de sotmetre de forma periòdica els seus tractaments de dades personals a auditories internes i / o externes, amb la finalitat de verificar el correcte compliment del Reglament i de la LOPD GDD, així com de la seva política, normes i procediments, determinant graus de compliment i recomanant mesures correctores.

8 - GESTIÓ DE RISCOS

Analitzar els possibles riscos i elaborar una estratègia per gestionar-los adequadament és primordial per MC MUTUAL ja que, únicament si es coneix l'estat de seguretat amb evidències racionals, es poden prendre les decisions adequades per solucionar els riscos que sorgeixin.

MC MUTUAL desenvolupa aquesta anàlisi a través d'una metodologia estandarditzada i internacionalment reconeguda, identificant i valorant els actius més valuosos del sistema i els tractaments de dades personals, quantificant les amenaces més probables i valorant les salvaguardes a aquestes amenaces que mitiguin els valors d'impacte i risc, deixant-los reduïts als valors residuals que siguin va assumirbles per MC MUTUAL.

El Document de Aplicabilitat especificarà, per a cada control, si s'aplica o no i el motiu pel qual es pren aquesta decisió. No obstant això, la mútua disposa d'un mapa de riscos general que engloba tots els seus actius des de les diferents vessants d'exposició al risc.

Els riscos i els controls adoptats després de l'anàlisi dels riscos s'han de revisar anualment, així com sempre que les circumstàncies ho aconsellin. Això es considerarà una part més de la gestió de la seguretat.

9 - GESTIÓ D'INCIDENTS

MC MUTUAL ha implementat els controls necessaris per a realitzar la gestió d'incidents de seguretat, basant-se en la monitorització dels sistemes i en protocols de comunicació, per tal de realitzar una detecció primerenca.

Per a la notificació dels possibles incidents, s'han establert els procediments d'informe de seguretat en què es detallen els criteris de classificació i escalat de notificacions, assegurant la informació a les parts interessades.

Per al tractament d'incidents s'han determinat els mecanismes que assegurin l'assignació de recursos per investigar les causes que el generen, la realització de l'anàlisi de les conseqüències que es deriven i la seva resolució, incloent la prevenció de repeticions futures. Aquestes mesures contemplen el tractament d'urgència d'incidents, incloent els procediments i nivells d'autorització que permetin la detenció de servei i l'aïllament de sistemes, així com la recollida d'evidències i protecció dels registres segons convingui.

10 - TERCERES PARTS

Quan MC MUTUAL utilitzi serveis de tercers se'ls farà partícips d'aquesta Política i de la normativa de seguretat que pertoqui a aquests serveis, i s'establiran procediments específics d'informe, coordinació i reacció als incidents de seguretat. S'ha d'assegurar, així mateix, que el personal de tercers està degudament conscienciat en matèria de seguretat, almenys al mateix nivell que l'establert per aquesta Política de Seguretat i privacitat de la Informació.

Quan algun aspecte d'aquesta Política no pugui ser satisfet per una tercera part, es requerirà un informe del responsable de seguretat de la Informació, aprovat pel Comitè de Política de Seguretat, precisant els riscos en què es produeixen i la forma de tractar-los, abans de procedir a la prestació del servei.

11 - MARC NORMATIU

Segons la legislació vigent, les normatives revisades per MC MUTUAL en matèria de Seguretat de la Informació són:

  • Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril del 2016.
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • Reial Decret Legislatiu 1/1996, de 12 d'abril, Llei de Propietat Intel•lectual.
  • Llei de propietat industrial.
  • Llei 34/2002, de 11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic.
  • Mesures de seguretat del Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat.
  • Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
  • Llei 40/2015, d'1 d'octubre, de règim jurídic del Sector Públic.