Política de Seguridad y Privacidad de la Información de Unión de Mutuas

ALCANCE
Esta Política de seguridad y privacidad de la información y su desarrollo, de conformidad con los requisitos mínimos establecidos en el Esquema Nacional de Seguridad, será de aplicación a todos los procesos estratégicos, operativos y de apoyo de Unión de Mutuas, a todos sus sistemas y tecnologías de la información y de las comunicaciones, y a todos sus centros y personas trabajadoras. Todo ello de conformidad con la declaración de aplicabilidad del sistema de gestión de la seguridad de la información sobre la base de una valoración de los sistemas de nivel alto, siguiendo las directrices del Esquema Nacional de Seguridad, instrucciones técnicas de seguridad y sus guías de ayuda a la implantación.

MISIÓN Y OBJETIVOS DE UNIÓN DE MUTUAS
Unión de Mutuas está formada por personas que nos ocupamos de la salud laboral y de la gestión del pago de prestaciones económicas. Unión de Mutuas, mutua colaboradora con la Seguridad Social n.º 267, es una asociación de empresas, sin ánimo de lucro ni de captación de empresas o autónomos, que colaboramos en la gestión de la Seguridad Social en la gestión integral del accidente de trabajo y enfermedad profesional de los trabajadores protegidos, con el objetivo de mejorar su salud a través de la prevención y la asistencia sanitaria. También gestionamos el control y el pago de las prestaciones económicas de la contingencia profesional y de la incapacidad temporal derivada de contingencia común, así como las prestaciones de riesgo durante el embarazo y la lactancia natural, el cuidado de menores enfermos de cáncer u otra enfermedad grave y el cese de actividad de los trabajadores autónomos.

Nuestro trabajo se realiza en base a los principios de buen gobierno, asegurando la transparencia en nuestra gestión y conforme los criterios de un modelo de gestión de la excelencia basado en la eficiencia, compromiso con las personas, innovación y sostenibilidad, para ofrecer el mejor servicio a las empresas mutualistas y personas trabajadoras asociadas o adheridas a Unión de Mutuas y satisfacer las expectativas legítimas de todos nuestros grupos de interés.

MARCO NORMATIVO
Las funciones de las mutuas colaboradoras con la Seguridad Social quedan sujetas a la normativa actual, que se encuentra establecida ampliamente en el mapa normativo de la entidad. Se incluyen como principales las siguientes:

  • Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social.
  • Real Decreto 1993/1995, de 7 de diciembre, por el que se aprueba el Reglamento sobre colaboración de las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social.
  • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
  • Resolución de 4 de mayo de 2015, de la Secretaría de Estado de la Seguridad Social, por la que se establece el Plan general de actividades preventivas de la Seguridad Social, a aplicar por las mutuas colaboradoras con la Seguridad Social en la planificación de sus actividades para el año 2015.
  • Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración.
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
  • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Reglamento General de Protección de Datos, (Reglamento UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto 1541/2011, de 31 de octubre, por el que se desarrolla la Ley 32/2010, de 5 de agosto, por la que se establece un sistema específico de protección por cese de actividad de los trabajadores autónomos.
  • Ley 32/2010, de 5 de agosto, por la que se establece un sistema específico de protección por cese de actividad de los trabajadores autónomos (BOE 06/08/2010).
  • Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
  • Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Real Decreto 1299/2006, de 10 de noviembre por el que se aprueba el cuadro de enfermedades profesionales en el Sistema de Seguridad Social y se establecen criterios para su notificación y registro.
  • Resolución de 26 de noviembre de 2002, que regula la utilización del Sistema de Declaración Electrónica de Accidentes de Trabajo (Delta) que posibilita la transmisión por procedimiento electrónico de los nuevos modelos para la notificación de accidentes de trabajo.
  • Orden ESS/1187/2015, de 15 de junio, por la que se desarrolla el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración.
  • Orden TAS/1/2007, de 2 de enero, por la que se establece el modelo de parte de enfermedad profesional, dicta normas para su elaboración y crea el correspondiente fichero de datos personales.

ORGANIZACIÓN DE LA SEGURIDAD
Unión de Mutuas tiene entre sus objetivos estratégicos garantizar la seguridad y privacidad de la información y la continuidad del servicio, analizando el contexto de exposición (interno y externo), actuando preventivamente, supervisando la actividad diaria, reaccionando con celeridad a los incidentes, y disponiendo de los recursos necesarios para analizar, evaluar y tratar los riesgos a los que están expuestos los activos de la organización que afectan a la seguridad y privacidad de la información en todas sus dimensiones (disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad). La protección frente a cualquier amenaza identificada requiere la implantación de una serie de medidas de seguridad que deben establecerse conforme a la legislación vigente en materia de protección de datos, el resultado del análisis de riesgos de la entidad y las propias medidas del Esquema Nacional de Seguridad.

Unión de Mutuas considera estratégico para la entidad que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad y privacidad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y adquisición de servicios o productos, y en todas las operaciones de la actividad diaria. La seguridad se establece como un proceso integral y gestionado, donde no hay cabida a actuaciones colaterales o aisladas.

DETECCIÓN, PREVENCIÓN, RESPUESTA Y RECUPERACIÓN
En Unión de Mutuas se han implementado con carácter preventivo todas aquellas medidas de seguridad y privacidad derivadas del cumplimiento normativo en protección de datos, los controles de la norma de gestión ISO 27001 (Sistemas de gestión de seguridad de la información) e ISO 27701 (Gestión de privacidad de la información) y todas aquellas medidas contempladas en el Esquema Nacional de Seguridad según la valoración de los sistemas. Adicionalmente, se implementarán todas aquellas medidas de seguridad necesarias para dar cobertura a la detección de amenazas y gestión de los riesgos para la seguridad y privacidad de los sistemas y los datos. Estas medidas se revisan y reevalúan periódicamente de conformidad con el artículo 9 del Esquema Nacional de Seguridad.

Para garantizar el cumplimiento de esta política, Unión de Mutuas realiza, además, una gestión del cambio en la operativa y configuración de los sistemas, requiriendo autorización previa antes de su puesta en explotación.

La organización ha implementado los controles necesarios para:

  • monitorizar los sistemas que dan soporte a los servicios de modo que se pueda obtener una detección temprana de los incidentes de seguridad,
  • dar respuesta de forma eficaz a los incidentes de seguridad detectados estableciendo protocolos de comunicación con los agentes implicados
  • y aportar continuidad a los servicios dentro del Plan de contingencias y continuidad de servicio de la entidad.

Unión de Mutuas realiza una revisión periódica de la correcta adecuación al ENS por parte de terceros con el fin de obtener una evaluación independiente.

DESARROLLO DE LA POLÍTICA DE SEGURIDAD Y DE PRIVACIDAD DE LA INFORMACIÓN
Esta política de seguridad y privacidad se complementa con la Política de privacidad y protección de datos de carácter personal, la Política de Unión de Mutuas y los requisitos de certificación de normas de gestión de la entidad.

Este texto se desarrollará por medio de normativa de seguridad y privacidad que afronte aspectos específicos. La normativa de seguridad y privacidad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad y privacidad estará disponible en la intranet de Unión de Mutuas, accesible dentro del Catálogo de documentos del Sistema de Gestión.

La presente política se desarrolla además, aplicando los siguientes requisitos mínimos:

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos.
h) Seguridad por defecto.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.

Estos requisitos se encuentran descritos en la normativa y procedimientos de seguridad específicos para la implementación de las medidas de aplicación del ENS y en los documentos de operativa y las normas de aplicación que se pueden encontrar en el Catálogo de documentos del Sistema de Gestión de la entidad. Esta documentación se encuentra disponible a través de la intranet corporativa para todo el personal, en coherencia y de conformidad con los requisitos del Reglamento General de Protección de Datos (RGPD), de la Ley Orgánica de Protección de Datos de carácter personal y garantía de los derechos digitales (LOPDGDD) y de las normas de gestión en las que la entidad se encuentra certificada.

ORGANIZACIÓN DE LA SEGURIDAD Y LA PRIVACIDAD: FUNCIONES Y RESPONSABILIDADES
Unión de Mutuas, de conformidad con la guía CCN-STIC 801, ha establecido para el gobierno de la seguridad los siguientes bloques de función diferenciada en materia de seguridad:

  1. La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a la Dirección de la entidad, a los responsables del tratamiento, de la información y del servicio, y al Comité de Seguridad y Privacidad de la Información.
  2. La supervisión, que corresponde al responsable de la seguridad y al delegado de protección de datos, en sus respectivos ámbitos.
  3. La operación del sistema de información, que corresponde al responsable del sistema.

Responsable de la información y del servicio: Comité de Seguridad y Privacidad de la Información
El órgano responsable de la seguridad y privacidad de la información y del servicio será el Comité de Seguridad y Privacidad de la Información, que determinará los requisitos de la información tratada en materia de seguridad y protección de datos sobre la base del establecimiento previo de los niveles de seguridad en cada dimensión de los sistemas. Además, como responsable del servicio, dicho comité determinará los requisitos de los servicios prestados y sus niveles de seguridad y privacidad.

El Comité de Seguridad y Privacidad de la Información tiene como objetivo realizar una evaluación continua del estado de la seguridad de la información y la eficacia del sistema de gestión de la seguridad y privacidad de la información implantado en la organización, derivado este del cumplimiento del Esquema Nacional de Seguridad, las normas de gestión ISO 27001 e ISO 27701, y de la protección de datos de carácter personal según la normativa vigente.

De acuerdo con ello, las responsabilidades del Comité de Seguridad y Privacidad de la Información serán, entre otras, las que se definen ampliamente en el documento de seguridad asociado en el sistema de gestión de la entidad, la coordinación de la seguridad de la información en la organización para, entre otros aspectos,

– racionalizar la implantación de las diferentes medidas de seguridad y privacidad requeridas por el sistema y
– evitar disfunciones que permitan fallas de seguridad al dejar al sistema con puntos débiles donde pudieran ocurrir accidentes o se pudieran perpetrar ataques.

El Comité de Seguridad y Privacidad de la Información está formado por personal representante de:

– Estrategia y Gestión Directiva
– Gestión de la Contingencia Profesional
– Gestión de Recaudación y Prestación Económica
– Responsable de la Administración de los Sistemas
– Responsable del sistema (SGSI)
– Gestión de Recursos Humanos
– Gestión Jurídica
– Gestión de la Innovación y Mejora
– Gestión de Edificios e Instalaciones
– Responsable de Seguridad
– Responsable de Contratación
– Responsable de Cumplimiento y el
– Delegado de protección de datos

Responsable de seguridad
La persona líder del Proceso de Gestión de Sistemas de Información de Unión de Mutuas es la responsable de seguridad conforme a los requisitos del Esquema Nacional de Seguridad y, adicionalmente, de las normas de gestión de la seguridad y privacidad implementadas, y determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Entre las tareas principales del responsable de seguridad se encuentran:

– Coordinar y controlar las medidas de seguridad aplicables y definidas en los procedimientos de aplicación.
– Controlar directamente los mecanismos que permiten el registro de accesos, no permitiendo la desactivación ni la manipulación de los mismos.
– Revisar, al menos una vez al mes, la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados.
– Adoptar decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
– Decidir sobre la adquisición de productos y contratación de servicios relacionados con la seguridad.
– Dar cumplimiento a los requisitos mínimos de seguridad aplicables a la categoría del sistema según el ENS y sin perjuicio del cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos de Carácter Personal.
– Formalizar, aprobar formalmente y firmar el cumplimiento de las medidas de seguridad del Anexo II del ENS, incluidas las compensatorias y su justificación, en un documento que se denominará Declaración de aplicabilidad.
– Analizar los informes de auditoría del ENS y presentar las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
– Mantener la seguridad de la información gestionada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la presente Política de seguridad de la información.
– Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

Responsable del sistema
La persona líder del Subproceso de Seguridad de los Sistemas de Información y Servicios, del Proceso Gestión de Sistemas de Información de Unión de Mutuas, es la responsable del sistema conforme a los requisitos del Esquema Nacional de Seguridad y las Normas de Gestión ISO 27001 (Sistemas de Gestión de Seguridad de Información) e ISO 27701 (Gestión de privacidad de la información),) y determinará las decisiones para satisfacer los requisitos de seguridad y privacidad de la información y de los servicios.

Entre las tareas principales del responsable del sistema se encuentran:

– Recibir los informes de auditoría y adoptar las medidas correctoras adecuadas con las conclusiones aportadas por el responsable de seguridad.
– En el caso de los sistemas de valoración alta, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas. (Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y del responsable de la seguridad, antes de ser ejecutada).
– Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

Delegado de protección de datos
Unión de Mutuas ha designado a su delegado de protección de datos para que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de los datos de carácter personal objeto de tratamiento.

Los interesados, por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, podrán ponerse en contacto con el delegado de protección de datos de Unión de Mutuas a través de la cuenta de correo: delegadoprotecciondatos@uniondemutuas.es.

El delegado de protección de datos estará obligado a mantener el secreto y la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados Miembros. El delegado de protección de datos de Unión de Mutuas actuará como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento de los datos de carácter personal de los interesados, entre otras funciones establecidas en la actual normativa.

El delegado de protección de datos participará activamente en todos los aspectos de la seguridad que afecten a la privacidad y la protección de los datos de carácter personal.

Comité de Protección de Datos
El Comité de Protección de Datos es un equipo de personas dentro de la entidad de apoyo y soporte al delegado de protección de datos en todas sus funciones, de modo que puedan cubrir varias áreas de especialización.

El Comité de Protección de Datos está formado por personal representante de:

– Estrategia y Gestión Directiva,
– Gestión Jurídica,
– Responsable de Seguridad,
– Responsable de Contratación,
– Responsable de Cumplimiento, y el
– Delegado de protección de datos.

Otras de sus funciones:

– su personal formará parte del Comité de Seguridad y Privacidad de la Información,
– podrá colaborar en las consultas a la autoridad de control,
– actuará como gabinete de crisis ante violaciones de protección de datos y para dar cumplimiento de los artículos 33 y 34 del RGPD para notificación y comunicación a los interesados, y
– revisará los diferentes informes que el delegado de protección de datos prepare con finalidades específicas de comunicación o supervisión periódica.

Procedimiento de designación
Las designaciones de los diferentes roles de seguridad son aprobadas por la Dirección Gerencia de Unión de Mutuas mediante la aprobación de los respectivos procedimientos que conforman el documento de seguridad, donde se encuentran bien definidas sus responsabilidades y cargos, y mediante la firma de la presente política. Estas designaciones constan como roles en las diferentes descripciones de puesto de trabajo de las personas involucradas. Cualquier cambio será visto y aprobado previamente por el Comité de Seguridad y Privacidad de la Información.

GESTIÓN DE RIESGOS
Todos los sistemas, servicios, personas y recursos en el alcance de esta política deberán ser objeto de un análisis de riesgos sobre la seguridad y privacidad de la información que se reevaluará, al menos, una vez al año o cuando exista algún cambio que afecte a la información o a los servicios, o se detecten amenazas o vulnerabilidades. El plan de análisis de riesgos, la metodología formal de revisión, los criterios de evaluación de los mismos, las directrices para su tratamiento y el proceso de aceptación del riesgo residual, se encuentran desarrollados y disponibles en el Catálogo de documentos del Sistema de Gestión de la entidad a través de la intranet corporativa para todo el personal. El análisis de riesgos será la base para determinar las medidas de seguridad y privacidad que se deben adoptar, además de los mínimos establecidos por el Esquema Nacional de Seguridad.

DATOS DE CARÁCTER PERSONAL
Unión de Mutuas trata categorías especiales de datos personales de conformidad con el art. 9 del RGPD. La licitud del tratamiento está basada en una obligación legal (art. 6. 1.c RGPD). La adecuación y cumplimiento conforme a los requisitos del RGPD queda recogida documentalmente en el Procedimiento de privacidad y protección de datos de carácter personal, que forma parte del Sistema de Gestión de la entidad y se encuentra disponible a través de la intranet corporativa para conocimiento de todo el personal.

Unión de Mutuas pone a disposición de usuarios e interesados toda la información relacionada con los tratamientos que realiza de datos de carácter personal en la Política de privacidad y protección de datos, disponible en la web corporativa.

Además, la entidad ha optado por una certificación del cumplimiento en materia de privacidad y protección de datos de carácter personal a través de la norma de gestión ISO 27701 (Gestión de la Privacidad de la información) para dar garantía de la objetividad del cumplimiento legal y como diligencia debida para la seguridad y privacidad desde el diseño y por defecto.

OBLIGACIONES DEL PERSONAL
Todo el personal de Unión de Mutuas debe conocer y cumplir esta Política de seguridad y privacidad de la información, su normativa de desarrollo y procedimientos de seguridad, siendo responsabilidad del Comité de Seguridad y Privacidad la disposición de los medios necesarios para que la información llegue a los afectados.

Las funciones y obligaciones de todas las figuras vistas en esta política se encuentran definidas al detalle en la documentación del sistema de gestión relacionada.

FORMACIÓN Y CONCIENCIACIÓN EN SEGURIDAD Y PRIVACIDAD
El personal de Unión de Mutuas estará sometido a formación y concienciación periódica en materia de seguridad y privacidad de la información y protección de datos de carácter personal, resultando de especial importancia el personal de nueva incorporación, que recibirá información específica en esta materia como parte de su acogida.

También las personas con responsabilidad en el uso, operación o administración de sistemas de las tecnologías de la información y comunicaciones recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

RESOLUCIÓN DE CONFLICTOS
Sobre la resolución de conflictos entre los diferentes responsables prevalecerá la decisión del responsable de seguridad, que deberá estar justificada ante el Comité de Seguridad y Privacidad de la Información.

TERCERAS PARTES
Cuando Unión de Mutuas preste servicios a otros organismos o gestione información de otros organismos, les hará partícipes de esta Política de seguridad y privacidad de la información.

Cuando Unión de Mutuas utilice servicios de terceros o ceda información a terceros, les hará partícipes de esta política de seguridad y privacidad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte deberá aceptar el quedar sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte según se indica en los párrafos anteriores, se requerirá un informe del responsable de seguridad que precise los riesgos en que se incurre y la forma de tratarlos.

APROBACIÓN Y ENTRADA EN VIGOR
La política de seguridad y privacidad deberá mantenerse actualizada permanentemente para adecuarla al progreso de los sistemas de información y servicios, a la evolución tecnológica, al desarrollo de la sociedad de la información, así como a los estándares internacionales de seguridad y protección de datos.

La primera aprobación y entrada en vigor del presente texto fue el 13 de julio de 2017.

El Comité de Seguridad y Privacidad de la Información de Unión de Mutuas revisará regularmente la oportunidad, idoneidad, completitud y precisión de lo establecido en esta política.

El presente texto anula el anterior aprobado y ratificado en agosto de 2021 por la Dirección Gerencia de esta entidad.

 

Fecha de última actualización: abril 2022.

 

Unión de Mutuas
Mutua colaboradora con la Seguridad Social n.º 267