Política de seguridad y privacidad de la información

1 - INTRODUCCIÓN

MC MUTUAL es una entidad sin ánimo de lucro, autorizada por el Ministerio de Trabajo, Migraciones y Seguridad Social, cuyo principal objetivo es el de colaborar en la gestión de la Seguridad Social y proporcionar, a sus mutualistas, la asistencia sanitaria y cobertura económica derivadas de las prestaciones que le sean atribuidas por el Ministerio anteriormente mencionado. MC MUTUAL también está muy comprometida con la prevención de riesgos laborales y la reducción de la siniestralidad laboral.

La Dirección de MC MUTUAL considera la información un activo esencial para el cumplimiento adecuado de su misión. Asume que, para la consecución de sus objetivos, depende de los sistemas TIC (Tecnología de Información y Comunicaciones) y que la seguridad de la información es una responsabilidad asociada para la protección contra las amenazas que puedan afectar a su confidencialidad, privacidad, integridad y/o disponibilidad, por lo que es diligente y toma las medidas adecuadas.

Como parte de esa estrategia, la Dirección de MC MUTUAL define, a través de este documento, su Política de Seguridad y Privacidad de la Información. La misma, complementa las políticas de Seguridad, Privacidad y de gestión de riesgos de la Entidad, en diferentes materias, las cuales constan en los procedimientos y documentos elaborados a tal efecto; y se desarrolla por medio de normativa de seguridad que afronta aspectos específicos.

2 - OBJETIVO

El objetivo de esta Política es definir las directrices y principios de actuación que rigen el modo en que MC MUTUAL gestiona y protege su información y sus servicios en materia de seguridad, con el fin de garantizar la calidad, la privacidad, la integridad, la disponibilidad y, en especial, la confidencialidad de la información de la Mutua.
MC MUTUAL, se basa en los principios y requisitos del Reglamento Europeo de Protección de Datos (RGPD), de la Ley Orgánica 3/2018, 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD) y del Esquema Nacional de Seguridad (ENS) para la definición de su sistema de gestión de seguridad de la información. Esta decisión se fundamenta en la consideración de la seguridad no como un estado, sino como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados. 
La política de la mutua se basa en que todos los departamentos deben estar preparados para la prevención, detección, respuesta y recuperación de incidentes de seguridad de la información.

Prevención

Para evitar, o al menos prevenir, que la información y los servicios no se vean comprometidos por los incidentes de seguridad, MC MUTUAL implementa las medidas de seguridad establecidas por el RGPD, la LOPDGDD y el ENS, así como cualquier otro control adicional que se identifique como necesario a través de la evaluación de amenazas y riesgos. Para garantizar el cumplimiento de la política de seguridad y privacidad, MC MUTUAL:

  • Autoriza los sistemas antes de entrar en operación.
  • Evalúa regularmente la seguridad, incluyendo análisis de los cambios de configuración realizados.
  • Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente. 

Detección

MC MUTUAL establece mecanismos de monitorización, análisis y reporte continuos para detectar anomalías o desviaciones significativas en los niveles de prestación de los servicios y así actuar en consecuencia.

Respuesta

MC MUTUAL cuenta con procedimientos de respuesta y comunicación eficaz ante los incidentes de seguridad. Existen diversas figuras que ejecutan dichos procedimientos y que canalizan las comunicaciones con respecto a incidentes detectados en otros organismos para el intercambio de información relacionada con el incidente en ambas direcciones.

Recuperación

Para garantizar la disponibilidad de los servicios críticos, MC MUTUAL ha desarrollado planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del servicio y actividades de recuperación. 
 

3 - ALCANCE Y ÁMBITO DE APLICACIÓN

La Dirección de MC MUTUAL, el personal adscrito, personal subcontratado y proveedores deben estar sujetos a los requerimientos que se derivan de esta Política, siempre que utilicen o accedan a la información de MC MUTUAL, con independencia de su ubicación.

En este sentido, los diferentes agentes con acceso a la información están obligados a conocer esta Política (en lo que les pueda afectar) y a comprometerse en preservar la seguridad de la información y, en particular, su confidencialidad, integridad, disponibilidad y privacidad.

Las relaciones con dichos agentes deben de estar amparadas siempre por los contratos de prestación de servicios correspondientes, incluyendo cláusulas de privacidad y protección de datos personales.

En cuanto al ámbito material se refiere, se considera objeto de esta política la información almacenada y/o en proceso de tratamiento o transmisión, independientemente de los medios empleados para tales fines.

La presente Política de Seguridad y Privacidad de la información será de aplicación en todas las fases del ciclo de vida de los datos personales: generación, tratamiento, distribución, almacenamiento, transporte, consulta y destrucción; así como de los sistemas que los procesan: análisis, diseño, desarrollo, implantación, explotación y mantenimiento.

Asimismo, la presente Política es de aplicación a todos los procesos de MC MUTUAL que involucren el tratamiento de datos de carácter personal, que a su vez supongan el ejercicio del derecho al habeas data (derecho a la protección de los datos personales) por parte de sus titulares.

MC MUTUAL adoptará en todo momento acciones destinadas a preservar los principios básicos relativos al tratamiento de datos de carácter personal, mediante los cuales los datos son:

a) tratados de manera lícita, leal y transparente («licitud, lealtad y transparencia»), de manera que siempre que el Titular de los datos personales lo solicite, MC MUTUAL le facilitará aquella información relativa a sus datos que reposen en las bases de datos de MC MUTUAL ;

b) recogidos con fines determinados, explícitos y legítimos, y no tratados ulteriormente de manera incompatible con dichos fines («limitación de la finalidad»), es decir, MC MUTUAL recoge los datos para una finalidad concreta y legítima, y siempre con el consentimiento previo del titular de dichos datos;

c) adecuados, pertinentes y limitados a los fines para los que son tratados («minimización de datos»), recogiendo únicamente los datos necesarios para la finalidad del tratamiento;

d) exactos y actualizados en todo momento, adoptando medidas para que se supriman o rectifiquen sin dilación los datos inexactos («exactitud»);

e) mantenidos estrictamente durante el tiempo necesario («limitación del plazo de conservación»), según la finalidad del tratamiento;

f) seguros, garantizando la seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, pérdida, destrucción o daño accidental («integridad y confidencialidad»);

g) tratados por el Responsable del Tratamiento, el cual es responsable del cumplimiento y capaz de demostrarlo («responsabilidad proactiva»).
 

4 - ORGANIZACIÓN DE LA SEGURIDAD

La Política de Seguridad y Privacidad de la Información, establece las directrices en las que MC MUTUAL debe perseverar para obtener un sistema eficiente y eficaz de gestión. Para cumplir con este propósito, se ha establecido un cuerpo normativo que desarrolla diferentes aspectos de dicha Política, así como los procedimientos administrativos y de seguridad asociados al mismo.

La Dirección General de MC MUTUAL es la responsable de su aprobación, y potencia y lidera el conocimiento y difusión de esta Política a todos los niveles, dado que interpreta este factor como crítico para asegurar su implantación eficaz y efectiva. 

MC MUTUAL, en cumplimiento de los principios básicos del RGPD, la LOPDGDD y el ENS, ha estructurado organizativamente la gestión de la seguridad de la información como una función diferenciada, estableciendo un modelo organizativo propio.

Los distintos puestos son nombrados por la Dirección General a instancias del Comité de Política de Seguridad. Dichos nombramientos se revisan periódicamente o cuando un puesto queda vacante.

4.1 Comités: funciones y responsabilidades

4.1.1 Comité de Política de Seguridad (CPS)

Su función es la de definir la política y marcar las directrices corporativas relativas a la seguridad y privacidad. Asimismo, es responsable de la definición, mantenimiento, revisión y mejora de la normativa vigente en materia de protección de datos, así como de la coordinación de las acciones y de la racionalización de los recursos necesarios para implantar las diferentes medidas de seguridad que se requieran y resolver los conflictos entre los distintos perfiles y tomar las decisiones pertinentes, teniendo siempre en cuenta la precedencia legal.

En términos del Esquema Nacional de Seguridad, el Comité de Política de Seguridad asume las funciones del Responsable de la Información y del Servicio. 

Este comité es el encargado, por delegación de la Dirección General, de definir y divulgar la estrategia de MC MUTUAL en materia de seguridad de la información. 

El Comité de Política de Seguridad reporta a la Dirección General de MC MUTUAL y es el responsable de determinar y aprobar los niveles de seguridad de la información y de los servicios atendiendo a los requisitos de disponibilidad, accesibilidad e interoperabilidad, así como de la aceptación de los riesgos residuales.

Es también responsable de la definición, mantenimiento, revisión y mejora del Sistema de Seguridad de la Información y de la Política de Seguridad y Privacidad de la Información, en cumplimiento del ENS y de la normativa vigente en materia de protección de datos, así como de la coordinación de las acciones y de la racionalización de los recursos necesarios para implantar las diferentes medidas de seguridad que se requieran.

Son, a su vez, los responsables de la evaluación de riesgos de los sistemas y tratamientos de información de la Mutua, delegando dicha función en el Responsable de Seguridad de la Información que, en este caso, recae en la figura del Delegado de Protección de Datos.

Asimismo, es responsabilidad del Comité de Política de Seguridad, resolver los conflictos entre los distintos perfiles y tomar las decisiones pertinentes, teniendo siempre en cuenta la precedencia legal. 

4.1.2.    Comité Operativo de Seguridad (COS)

Se dispone también de un Comité Operativo de Seguridad que es el encargado de abordar y llevar a cabo la gestión de los temas más operativos, apoyando al Comité de Política de Seguridad en el desarrollo de la normativa correspondiente, la concienciación y formación al personal, y la adecuación y mejora de la seguridad en los sistemas de información.

4.2.    Responsable de Seguridad de la Información

En MC MUTUAL la figura del Responsable de Seguridad de la Información según el ENS es determinado por la Dirección General y corresponde al Delegado de Protección de Datos, quien asume la responsabilidad de mantener la seguridad de la información y de los servicios prestados por los sistemas de información, en su ámbito de responsabilidad.

Como Delegado de Protección de Datos asume también las funciones asignadas en el RGPD, y vela por el cumplimiento de los principios de confidencialidad, integridad, disponibilidad y privacidad de los datos de MC MUTUAL. 

El Delegado de Protección de Datos supervisa el cumplimiento de la normativa legal y políticas de MC MUTUAL en materia de protección de datos personales y asesora e informa al Responsable del Tratamiento, Encargado del Tratamiento y personal de MC MUTUAL sobre el tratamiento de datos personales, además de ser punto de contacto de interesados y de la Autoridad de Control.

4.3.    Responsable del Sistema

La Dirección de Sistemas de Información es la Responsable del Sistema conforme a los requisitos del ENS, y asume la responsabilidad de determinar las decisiones para satisfacer los requisitos de seguridad de la información de los servicios prestados.

4.4.    Otras unidades

La obligación de los empleados y personal externo con acceso a la información de la Mutua es conocer y cumplir con lo dispuesto en esta Política. Asimismo, deben colaborar, siempre que les sea solicitado, en las verificaciones de cumplimiento que se realicen de la misma.

En este sentido, la dirección de la División Sistemas de Información y los diferentes responsables de los Departamentos adscritos a esta División conocerán el contenido de este documento y colaborarán activamente para aplicar, en su ámbito de responsabilidad, lo dispuesto en esta Política de Seguridad y Privacidad de la Información. Por otra parte, los responsables de Auditoría Interna conocerán también el documento y podrán verificar el nivel de cumplimiento del mismo.

Serán los propietarios de cada proceso de contratación los responsables de que los documentos contengan cláusulas relativas a la aceptación, por parte de los adjudicatarios, de esta Política de Seguridad y Privacidad de la Información, siendo responsabilidad del área de gestión correspondiente, su difusión entre el personal de la misma que tenga la consideración de personal externo.

Los propietarios de los distintos procedimientos internos se asegurarán de que dichos documentos contemplen de forma adecuada la Política de Seguridad y Privacidad de la Información.

Para gestionar de forma eficiente la Seguridad de la Información, cada uno de los departamentos de MC MUTUAL donde esté en riesgo la Seguridad (bien en la operación, servicio y/o funcionalidad del departamento), deberá cumplir las normas y los procedimientos que correspondan. Todas estas normas y procedimientos estarán ratificados por la Dirección.

5 - FORMACIÓN Y CONCIENCIACIÓN

MC MUTUAL considera que el método más efectivo de mejorar la seguridad y la protección de datos personales es mediante el desarrollo de una cultura formativa eficaz y universal a todos sus trabajadores a través de la formación y capacitación continuada, y en su incorporación a la actividad laboral.

MC MUTUAL se compromete a desarrollar y ejecutar planes de formación, a su personal, de manera continua. En dichos planes se incluirán cursos específicos sobre protección de datos personales y seguridad de la información, acordes con el área destinataria: Dirección, técnicos, administradores, usuarios de los sistemas, etc.

Asimismo, se realizarán campañas de concienciación e información sobre protección de datos personales dirigidas a todo el personal, proveedores y terceros de MC MUTUAL, a través del medio que se considere más efectivo.

6 - CONSULTAS Y PETICIONES

MC MUTUAL pone a disposición de su personal, terceros o cualquier otro interesado titular de datos personales que reposen en las bases de datos y/o sistemas de información propiedad de la Mutua, diversos canales de comunicación para recibir y atender peticiones, consultas y reclamaciones por parte de sus titulares de manera que éstos puedan ejercer sus derechos de acceso, rectificación, supresión, limitación, a decidir sobre tratamientos automatizados, portabilidad, información, reclamación y oposición al tratamiento de sus datos personales contenidos en bases de datos y a revocar la autorización que hayan otorgado para el tratamiento de los mismos.

MC MUTUAL se compromete a dar respuesta a todas las peticiones, consultas y reclamos a la mayor celeridad y siempre dentro de los plazos marcados por el Reglamento y la LOPDGDD.

7 - AUDITORÍA

MC MUTUAL, en su compromiso de mejora continua, someterá de forma periódica sus tratamientos de datos personales a auditorías internas y/o externas, con la finalidad de verificar el correcto cumplimiento del Reglamento y de la LOPDGDD, así como de su política, normas y procedimientos, determinando grados de cumplimiento y recomendando medidas correctoras.

8 - GESTIÓN DE RIESGOS

Analizar los posibles riesgos y elaborar una estrategia para gestionarlos adecuadamente es primordial para MC MUTUAL ya que, únicamente si se conoce el estado de seguridad con evidencias racionales, podrán tomarse las decisiones adecuadas para solucionar los riesgos que surjan.

MC MUTUAL desarrolla dicho análisis a través de una metodología estandarizada e internacionalmente reconocida, identificando y valorando los activos más valiosos del sistema y los tratamientos de datos personales, cuantificando las amenazas más probables y valorando las salvaguardas a dichas amenazas que mitiguen los valores de impacto y riesgo, dejándolos reducidos a los valores residuales que sean asumibles por MC MUTUAL.

El Documento de Aplicabilidad especificará, para cada control, si se aplica o no y el motivo por el que se toma esa decisión. No obstante, la mutua dispone de un mapa de riesgos general que engloba todos sus activos desde las diferentes vertientes de exposición al riesgo.

Los riesgos y los controles adoptados tras el análisis de los riesgos deben ser revisados anualmente, así como siempre que las circunstancias lo aconsejen. Esto se considerará una parte más de la gestión de la seguridad.

9 - GESTIÓN DE INCIDENTES

MC MUTUAL ha implementado los controles necesarios para realizar la gestión de incidentes de seguridad, basándose en la monitorización de los sistemas y en protocolos de comunicación, a fin de realizar una detección temprana.

Para la notificación de los posibles incidentes, se han establecido los procedimientos de reporte de seguridad en los que se detallan los criterios de clasificación y escalado de notificaciones, asegurando la información a las partes interesadas.

Para el tratamiento de incidentes se han determinado los mecanismos que aseguren la asignación de recursos para investigar las causas que lo generan, la realización del análisis de las consecuencias que se derivan y su resolución, incluyendo la prevención de repeticiones futuras. Estas medidas contemplan el tratamiento de urgencia de incidentes, incluyendo los procedimientos y niveles de autorización que permitan la detención de servicio y el aislamiento de sistemas, así como la recogida de evidencias y protección de los registros según convenga.

10 - TERCERAS PARTES

Cuando MC MUTUAL utilice servicios de terceros se les hará participes de esta Política y de la normativa de seguridad que ataña a dichos servicios, y se establecerán procedimientos específicos de reporte, coordinación y reacción a los incidentes de seguridad. Se asegurará, asimismo, que el personal de terceros está debidamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido por esta Política de Seguridad y Privacidad de la Información.

Cuando algún aspecto de esta Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información, aprobado por el Comité de Política de Seguridad, precisando los riesgos en que se incurren y la forma de tratarlos, antes de proceder a la prestación del servicio.

11 - MARCO NORMATIVO

Según la legislación vigente, las normativas revisadas por MC MUTUAL en materia de Seguridad de la Información son:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Ley de Propiedad Industrial.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
  • Medidas de seguridad del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.