220416 IT Services - Universidad de Navarra MANUAL DE CONFIDENCIALIDAD PARA EL PERSONAL DE LA UNIVERSIDAD DE NAVARRA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES Índice 1. 2. 3. 4. Introducción. Ámbito de aplicación del manual. Conceptos básicos. Funciones y obligaciones de los usuarios. 4.1. Creación, modificación y supresión de ficheros con datos de carácter personal. 4.2. Tratamiento de datos de carácter personal. 4.3. Derechos de los titulares de los datos. 4.4. Cesiones de datos a terceros y acceso a datos por cuenta de terceros. 4.5. Confidencialidad de la información. 4.6. Puestos de trabajo. 4.7. Uso de Internet y correo electrónico. 4.8. Salvaguarda y protección de las contraseñas personales. 4.9. Gestión de incidencias. 4.10. Gestión de soportes. 4.11. Copias de respaldo. 5. Conclusión. 1. Introducción La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), tiene por objeto garantizar y proteger la confidencialidad de los datos personales. Se ha dictado, además, el Real Decreto 994/1999 (RMS), por el que se aprueba el Reglamento de "Medidas de Seguridad de los Ficheros Automatizados de Datos de Carácter Personal". En este Reglamento se establecen las medidas de seguridad, tanto de índole técnico como de organización, que todas las personas, que intervengan en el tratamiento de datos de carácter personal, deben adoptar con relación a los ficheros automatizados, centros de tratamiento, locales, equipos, sistemas, programas... La Universidad de Navarra ha adoptado las medidas de seguridad necesarias para asegurar el cumplimiento de lo previsto tanto en la Ley como en el Reglamento de Medidas de Seguridad. El conocimiento y cumplimiento de esta normativa vincula a todos los empleados de la Universidad que en el desempeño de sus funciones tengan acceso a datos de carácter personal. Con objeto de velar y hacer cumplir la normativa de protección de datos, se crean, las figuras del Responsable del Fichero y del responsable de Seguridad, que se encargan de coordinar controlar, desarrollar y verificar el cumplimiento de las medidas, normativas y procedimientos mencionados en el Documento de Seguridad. 1 220416 IT Services - Universidad de Navarra 2. Ámbito de aplicación del manual Este manual pretende difundir los procedimientos a seguir en el manejo de datos de carácter personal en la actividad diaria. Este manual se dirige al: - Personal docente, administrativo y de servicios centrales que, en el desempeño de las actividades que le corresponden, necesariamente accede a los datos de carácter personal (datos académicos, nóminas, correspondencia, llamadas, contabilidad, etc.) - Personal externo que presta servicios en las instalaciones de la Universidad, así como alumnos, asistentes voluntarios, becarios, etc., cuya actividad requiera el acceso a estos datos. Desde el punto de vista objetivo o material, el ámbito de aplicación de los criterios y medidas de seguridad alcanza a todo el sistema informático de la Universidad, porque es el sistema en el que se almacenan y se utilizan unas concretas bases de datos cuyo titular y responsable último es la Universidad y que, por ser de carácter personal en el más amplio sentido, deben ser objeto de una protección especial. 3. Conceptos básicos Para proporcionar una mejor comprensión, se definen algunos conceptos básicos, que ayudarán a determinar en cada caso si la información que se utiliza constituye un dato de carácter personal, si el archivo que recoge los datos personales se considera un fichero y si el uso que de él se hace constituye, a efectos de la Ley Orgánica de Protección de Datos, un tratamiento de datos de carácter personal. a) Datos de carácter personal. Cualquier información concerniente a personas físicas identificadas o identificables. La definición anterior incluye todo tipo de información numérica, alfabética, gráfica, fotográfica, o de cualquier otro tipo susceptible de recogida, registro, tratamiento o transmisión. A modo de ejemplo se indican distintos tipos de datos de carácter personal: - Datos de identificación personal: nombre y apellidos, dirección postal o electrónica, teléfono, DNI/NIF, n, SS/mutualidad, etc. 2 220416 IT Services - Universidad de Navarra - Datos de características personales: estado civil, familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, lengua, características físicas, etc. - Datos de circunstancias sociales: situación social, propiedades, rentas, estilos de vida y aficiones, pertenencia a asociaciones, licencias, etc. - Datos académicos y profesionales: profesional, detalles de empleo, etc. formación, titulaciones, experiencia La LOPD califica como datos especialmente protegidos los de afiliación sindical, ideología, religión, creencias, origen racial, salud y vida sexual. Los ficheros del sistema informático de la Universidad no contienen datos especialmente protegidos. b) Fichero: Todo conjunto organizado de datos de carácter personal, con independencia de la forma o modalidad de su creación, almacenamiento, organización y acceso. Para que un "fichero" pueda calificarse como "Fichero de datos personales" deberá contener algún dato de carácter identificativo de la persona. En el presente documento la expresión "fichero de datos personales" o el término "fichero" se utilizan para referirse a los ficheros con datos personales que la Universidad mantiene en su sistema informático para su normal funcionamiento y el cumplimiento de sus fines institucionales. c) Tratamiento de datos: Toda operación o procedimiento técnico, de carácter automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de los datos. d) Incidencia: Cualquier anomalía que pueda producirse y suponer un peligro para la seguridad de los ficheros de datos de carácter personal, respecto a sus vertientes de confidencialidad, integridad y disponibilidad de los datos. e) Soporte Informático: Todo objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se puedan grabar o recuperar datos, tales como cintas, cartuchos, CD-ROM o disquetes. f) Cesión o comunicación de datos: Cualquier revelación de datos realizada a una persona distinta del interesado. 3 220416 IT Services - Universidad de Navarra g) Responsable del fichero: Persona física o jurídica que decide sobre la finalidad, contenido y uso de los datos. Es, en definitiva, el "propietario" de la información contenida en el fichero. La entidad titular de los ficheros objeto del presente documento de seguridad es la Universidad de Navarra. En el presente documento la expresión "Responsable del Fichero" se utiliza para referirse a la persona física designada por el Rectorado para ejercer esa función respecto de un fichero concreto. h) Responsable de Seguridad: Persona formalmente designada para coordinar y controlar las medidas de seguridad aplicables. 4. Funciones y obligaciones de los usuarios 4.1. Creación, modificación y supresión de ficheros con datos de carácter personal La creación, modificación o supresión de un fichero con datos de carácter personal en el sistema informático general de la Universidad sólo podrá realizarse por decisión del Rectorado. En el caso de creación de un fichero, el acuerdo especificará su finalidad, el nivel de protección de los datos y la persona que ejercerá las funciones de responsable del fichero. 4.2. Tratamiento de datos de carácter personal El vigente Reglamento de Medidas de Seguridad distingue varios niveles de protección en función del tipo de datos personales que contenga un fichero. Como los ficheros a los que se aplica este documento no tienen datos especialmente protegidos, las medidas de seguridad aplicables son las del nivel básico. La información sobre una persona sólo a ella pertenece y debe obtenerse de forma lícita. Por tanto, es necesario contar con el previo consentimiento del interesado para almacenar y utilizar esa información, salvo en algunas circunstancias, entre ellas: Que los datos procedan de fuentes accesibles al público: censo promocional, repertorios telefónicos, listas de colegios profesionales, Diarios y Boletines Oficiales y medios de comunicación). Que los datos se refieran a las partes de una relación de negocios, laboral o administrativa. 4.3. Derechos de los titulares de los datos a) Enumeración: - Derecho de información: Al facilitar sus datos personales o con posterioridad, el interesado puede obtener información sobre la existencia del fichero y su finalidad. 4 220416 IT Services - Universidad de Navarra - Derecho de acceso: El interesado puede solicitar y obtener gratuitamente información sobre sus datos de carácter personal, el origen de dichos datos y las cesiones de datos que la Universidad haya efectuado. - Derecho de rectificación: El interesado puede rectificar o corregir sus datos de carácter personal sometidos a tratamiento por la Universidad, adecuándolos a la realidad existente. - Derecho de cancelación: En algunos casos, el interesado puede solicitar la cancelación de sus datos personales. b) Ejercicio de los derechos: Cualquier empleado de la Universidad que reciba alguna solicitud relativa a los derechos expuestos en el apartado anterior, deberá rellenar el correspondiente formulario accesible desde la Intranet de la Universidad y remitirlo lo antes posible a [email protected] El Responsable de Seguridad, de acuerdo con el responsable del Fichero, y en ciertos casos con el visto bueno del Rectorado, autorizará los cambios. 4.4. Cesiones de datos a terceros y acceso a datos por cuenta de terceros a) Es necesaria la obtención del consentimiento del interesado antes de realizar cualquier cesión o comunicación de datos a terceros, excepto en los siguientes supuestos: por disposición de la ley o interés general, para estudios epidemiológicos, por petición de la Administración de Justicia. b) La Agencia de Protección de Datos entiende que la comunicación de datos entre empresas de un mismo Grupo empresarial, o bien entre entidades con una especial relación de colaboración constituye una cesión de datos a terceros, por lo que se deberán cumplir los requisitos establecidos en la normativa de protección de datos. Esa es la razón por la que, al recoger datos personales, se obtiene el consentimiento de los interesados (alumnos, etc.) para que las entidades que colaboran con la Universidad (Asociación de Amigos, etc.) tengan acceso a los datos. c) El acceso de terceros a los ficheros para prestar un servicio a la Universidad no constituye una cesión o comunicación que precise consentimiento de los interesados. Sin embargo, debe documentarse en un contrato escrito en el que se especifiquen las condiciones de acceso a los datos y las medidas de seguridad que se habrán de aplicar. El contrato debe ser aprobado por el Rectorado, a propuesta del responsable del fichero. d) Debe evitarse toda cesión no consentida por el interesado, aunque no se realice con fines comerciales o se produzca de forma no intencionada. En este aspecto, debe evitarse que al utilizar una lista de direcciones para enviar correo electrónico, se incluya la lista completa en cada mensaje. 5 220416 IT Services - Universidad de Navarra 4.5. Confidencialidad de la información Obligación de secreto profesional: - Esta obligación incumbe a todas las personas que, en el desarrollo de su profesión, acceden a ficheros que contienen datos personales. - El deber de secreto no sólo afecta a la entidad titular del fichero, la Universidad, sino que vincula igualmente a cuantas personas intervengan en el tratamiento de los datos. Tales personas no podrán comunicar o divulgar a terceros la información o los datos que manejen o de los que tengan conocimiento en el desempeño de su cargo o funciones en la Universidad. - El incumplimiento de esta obligación se tipifica como una falta grave en la normativa de protección de datos. 4.6. Puestos de trabajo Los empleados de la Universidad deberán respetar las estipulaciones y normas vigentes establecidas para el correcto tratamiento, uso y manipulación del material de trabajo, que deberá dedicarse al cumplimiento de las finalidades previstas. No se contempla la utilización de los recursos de la Universidad con fines personales o ajenos a los objetivos propios del puesto de trabajo correspondiente. En el caso de que se disponga de soportes que se puedan borrar (CDW, cintas, zip, etc.) en los ordenadores, los usuarios deberán tener en cuenta que no se podrá grabar y almacenar en ellos información corporativa con fines personales, debiendo evitar cualquier salida incontrolada de información de las instalaciones de la Universidad. Si por motivos justificados de trabajo se requiere la salida de este tipo de soportes de las instalaciones de la Universidad, se solicitará la correspondiente autorización del responsable del fichero de que se trate. - Terminales de Trabajo: Cada usuario es responsable de su puesto o terminal de trabajo. Por tanto, cuando lo abandone temporalmente, de forma que no pueda controlar quién lo utiliza, deberá bloquear el ordenador. - Ordenadores Portátiles: Los ordenadores portátiles se deberán mantener siempre controlados. No está permitido almacenar en ellos datos personales procedentes del sistema informático de la Universidad. - Uso de Impresoras: Cuando un usuario imprima trabajos con datos de carácter personal procurará recogerlos inmediatamente, asegurándose de no dejar documentos impresos en la bandeja de salida de la impresora. 6 220416 IT Services - Universidad de Navarra 4.7. Uso de Internet y correo electrónico - El envío electrónico de información con datos personales sólo está autorizado dentro de la red de la Universidad, quedando prohibida su transmisión utilizando el sistema e-mail fuera de la red corporativa, salvo autorización expresa del responsable del fichero. - No está permitido mantener, de forma permanente, información sobre datos personales en los mensajes de correo electrónico. - El uso de Internet está regulado por las normas generales establecidas para toda la Universidad. 4.8. Salvaguarda y protección de las contraseñas personales - Contraseñas de los usuarios: Todos los usuarios de los sistemas de información utilizados en la Universidad dispondrán de contraseñas asociadas a sus identificadores de usuario para permitirles el acceso a los sistemas informáticos (nombre de usuario y contraseña). Serán personales e intransferibles. Cada usuario sólo tendrá acceso a los recursos que sean necesarios para el desarrollo y cumplimiento de sus funciones dentro de la Universidad. - Primer acceso al sistema: En el primer acceso al sistema o a una aplicación es obligatorio, por parte del usuario, el cambio de la contraseña asignada al ser dado de alta o en el procedimiento de asignación por olvido de la contraseña, en cuyo caso deberá ponerse en contacto con el Administrador del Sistema quien le advertirá de esta circunstancia. - Configuración de contraseñas: El usuario podrá elegir la contraseña que desee, siempre que sea distinta de toda otra contraseña vigente en el sistema. Estará compuesta por un conjunto de caracteres alfanuméricos en número superior a 5 e inferior a 20. - Conservación de las contraseñas: Si el usuario conserva escritas las contraseñas, deberá mantenerlas en lugares no accesibles a terceros, evitando su colocación en lugares visibles y cercanos al puesto de trabajo (anotaciones en el ordenador, mesa de trabajo, agendas, etc.). - Confidencialidad de las contraseñas: Está expresamente prohibida la divulgación o comunicación por los usuarios de su clave de acceso a otras personas, ya sean integrantes de la plantilla o ajenas a la Universidad. Por tanto, cada usuario es responsable de la confidencialidad de su contraseña y de todas las actividades realizadas sobre el sistema con su identificación de usuario en los sistemas de la Universidad. 7 220416 IT Services - Universidad de Navarra En caso de que el identificador de usuario o clave de acceso fuera conocido fortuita o fraudulentamente por otra persona, el usuario modificará su contraseña y comunicará inmediatamente la incidencia al Responsable del Fichero. 4.9. Gestión de incidencias Se consideran incidencias, entre otras, las siguientes: - Cualquier fallo del sistema de seguridad informática que posibilite el acceso a los datos personales de personas no autorizadas. - El intento no autorizado de salida de un soporte. - La destrucción total o parcial del soporte físico en el que se encuentren datos personales. - El cambio no autorizado de ubicación física de ficheros de datos personales. - Los intentos de acceso no autorizados o fallidos a ficheros con datos de carácter personal. - Conocimiento por terceros del identificador de usuario o clave de acceso al sistema. - Modificación de datos por personal no autorizado o desconocido. - Pérdida de información. - Existencia de sistemas de información sin las debidas medidas de seguridad. Si surge una incidencia, el usuario deberá comunicarla inmediatamente al Responsable del Fichero, que se encargará de su gestión y resolución, cumplimentando el formulario que está disponible en la Intranet de la Universidad y remitiéndolo a [email protected] La omisión de la notificación de una incidencia será considerada como una falta contra la seguridad de los ficheros de la Universidad por parte del usuario que la haya conocido. 4.10. Gestión de soportes 1. Identificación de Soportes. Los soportes que contengan ficheros de datos de carácter personal se identificarán adecuadamente con una etiqueta externa en la que se indique: 8 220416 IT Services - Universidad de Navarra - De qué fichero se trata. Qué tipo de datos contiene. Proceso por el que se han originado. La fecha de su creación. Carácter confidencial de la información. 2. Almacenamiento de Soportes. Los soportes se almacenarán en lugares a los que únicamente tengan acceso las personas autorizadas para el uso de los datos que contengan. Se evitarán los cajones que no puedan cerrarse (sin llave) y lugares accesibles por terceros. No se permite la existencia de soportes fuera de los lugares previstos para su custodia, cuando no sean utilizados. 3. Se permiten la copia de información en soporte electrónico para preparar una presentación con motivo de una reunión de trabajo, realizar una recogida de información para un Proyecto de Investigación registrado y usos autorizados expresamente por el Responsable del Fichero. 4. Destrucción de Soportes. Los soportes que vayan a ser retirados, destruidos o reutilizados deberán ser borrados, de forma que se impida la recuperación posterior de la información en ellos almacenada. Este mismo deber de destrucción será aplicable a la información contenida en soporte papel. 5. Salida de Soportes. Ningún soporte informático que contenga datos personales podrá moverse de su lugar de conservación sin autorización del Responsable del Fichero. Si se trata de mover el soporte fuera del recinto de la Universidad, será precisa la previa autorización del Rectorado. 4.11. Copias de respaldo El personal de la Universidad deberá almacenar en el correspondiente Directorio de Red toda la información tratada en el desarrollo de sus funciones, para que a esta información se le apliquen las medidas de seguridad existentes y se someta a los procedimientos de copias de respaldo realizados en la Universidad. 5. Conclusión El personal de la Universidad que en el desempeño de sus actividades lleve a cabo un tratamiento de datos de carácter personal, debe conocer y cumplir las obligaciones recogidas en este Manual, cuyo contenido se corresponde con el "Documento de Seguridad” de la Universidad. Se puede solicitar cualquier aclaración acerca de este manual o temas de protección de datos personales a través de la cuenta de correo: [email protected] 9