Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Manual de confidencialidad

Anuncio 
220416
IT Services - Universidad de Navarra
MANUAL DE CONFIDENCIALIDAD PARA EL PERSONAL DE LA UNIVERSIDAD
DE NAVARRA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
Índice
1.
2.
3.
4.
Introducción.
Ámbito de aplicación del manual.
Conceptos básicos.
Funciones y obligaciones de los usuarios.
4.1. Creación, modificación y supresión de ficheros con datos de carácter
personal.
4.2. Tratamiento de datos de carácter personal.
4.3. Derechos de los titulares de los datos.
4.4. Cesiones de datos a terceros y acceso a datos por cuenta de terceros.
4.5. Confidencialidad de la información.
4.6. Puestos de trabajo.
4.7. Uso de Internet y correo electrónico.
4.8. Salvaguarda y protección de las contraseñas personales.
4.9. Gestión de incidencias.
4.10. Gestión de soportes.
4.11. Copias de respaldo.
5. Conclusión.
1. Introducción
La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), tiene por
objeto garantizar y proteger la confidencialidad de los datos personales. Se ha
dictado, además, el Real Decreto 994/1999 (RMS), por el que se aprueba el
Reglamento de "Medidas de Seguridad de los Ficheros Automatizados de Datos de
Carácter Personal". En este Reglamento se establecen las medidas de seguridad,
tanto de índole técnico como de organización, que todas las personas, que
intervengan en el tratamiento de datos de carácter personal, deben adoptar con
relación a los ficheros automatizados, centros de tratamiento, locales, equipos,
sistemas, programas...
La Universidad de Navarra ha adoptado las medidas de seguridad necesarias para
asegurar el cumplimiento de lo previsto tanto en la Ley como en el Reglamento de
Medidas de Seguridad. El conocimiento y cumplimiento de esta normativa vincula a
todos los empleados de la Universidad que en el desempeño de sus funciones
tengan acceso a datos de carácter personal.
Con objeto de velar y hacer cumplir la normativa de protección de datos, se crean,
las figuras del Responsable del Fichero y del responsable de Seguridad, que se
encargan de coordinar controlar, desarrollar y verificar el cumplimiento de las
medidas, normativas y procedimientos mencionados en el Documento de Seguridad.
1
220416
IT Services - Universidad de Navarra
2. Ámbito de aplicación del manual
Este manual pretende difundir los procedimientos a seguir en el manejo de datos de
carácter personal en la actividad diaria.
Este manual se dirige al:
-
Personal docente, administrativo y de servicios centrales que, en el desempeño
de las actividades que le corresponden, necesariamente accede a los datos de
carácter personal (datos académicos, nóminas, correspondencia, llamadas,
contabilidad, etc.)
-
Personal externo que presta servicios en las instalaciones de la Universidad, así
como alumnos, asistentes voluntarios, becarios, etc., cuya actividad requiera el
acceso a estos datos.
Desde el punto de vista objetivo o material, el ámbito de aplicación de los criterios y
medidas de seguridad alcanza a todo el sistema informático de la Universidad,
porque es el sistema en el que se almacenan y se utilizan unas concretas bases de
datos cuyo titular y responsable último es la Universidad y que, por ser de carácter
personal en el más amplio sentido, deben ser objeto de una protección especial.
3. Conceptos básicos
Para proporcionar una mejor comprensión, se definen algunos conceptos básicos,
que ayudarán a determinar en cada caso si la información que se utiliza constituye
un dato de carácter personal, si el archivo que recoge los datos personales se
considera un fichero y si el uso que de él se hace constituye, a efectos de la Ley
Orgánica de Protección de Datos, un tratamiento de datos de carácter personal.
a) Datos de carácter personal.
Cualquier información concerniente a personas físicas identificadas o identificables.
La definición anterior incluye todo tipo de información numérica, alfabética, gráfica,
fotográfica, o de cualquier otro tipo susceptible de recogida, registro, tratamiento o
transmisión.
A modo de ejemplo se indican distintos tipos de datos de carácter personal:
-
Datos de identificación personal: nombre y apellidos, dirección postal o
electrónica, teléfono, DNI/NIF, n, SS/mutualidad, etc.
2
220416
IT Services - Universidad de Navarra
-
Datos de características personales: estado civil, familia, fecha y lugar de
nacimiento, edad, sexo, nacionalidad, lengua, características físicas, etc.
-
Datos de circunstancias sociales: situación social, propiedades, rentas, estilos de
vida y aficiones, pertenencia a asociaciones, licencias, etc.
-
Datos académicos y profesionales:
profesional, detalles de empleo, etc.
formación,
titulaciones,
experiencia
La LOPD califica como datos especialmente protegidos los de afiliación sindical,
ideología, religión, creencias, origen racial, salud y vida sexual. Los ficheros del
sistema informático de la Universidad no contienen datos especialmente protegidos.
b) Fichero:
Todo conjunto organizado de datos de carácter personal, con independencia de la
forma o modalidad de su creación, almacenamiento, organización y acceso. Para
que un "fichero" pueda calificarse como "Fichero de datos personales" deberá
contener algún dato de carácter identificativo de la persona. En el presente
documento la expresión "fichero de datos personales" o el término "fichero" se
utilizan para referirse a los ficheros con datos personales que la Universidad
mantiene en su sistema informático para su normal funcionamiento y el cumplimiento
de sus fines institucionales.
c) Tratamiento de datos:
Toda operación o procedimiento técnico, de carácter automatizado o no, que permita
la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación de los datos.
d) Incidencia:
Cualquier anomalía que pueda producirse y suponer un peligro para la seguridad de
los ficheros de datos de carácter personal, respecto a sus vertientes de
confidencialidad, integridad y disponibilidad de los datos.
e) Soporte Informático:
Todo objeto físico susceptible de ser tratado en un sistema de información y sobre el
cual se puedan grabar o recuperar datos, tales como cintas, cartuchos, CD-ROM o
disquetes.
f) Cesión o comunicación de datos:
Cualquier revelación de datos realizada a una persona distinta del interesado.
3
220416
IT Services - Universidad de Navarra
g) Responsable del fichero:
Persona física o jurídica que decide sobre la finalidad, contenido y uso de los datos.
Es, en definitiva, el "propietario" de la información contenida en el fichero. La entidad
titular de los ficheros objeto del presente documento de seguridad es la Universidad
de Navarra. En el presente documento la expresión "Responsable del Fichero" se
utiliza para referirse a la persona física designada por el Rectorado para ejercer esa
función respecto de un fichero concreto.
h) Responsable de Seguridad:
Persona formalmente designada para coordinar y controlar las medidas de
seguridad aplicables.
4. Funciones y obligaciones de los usuarios
4.1. Creación, modificación y supresión de ficheros con datos de carácter
personal
La creación, modificación o supresión de un fichero con datos de carácter
personal en el sistema informático general de la Universidad sólo podrá
realizarse por decisión del Rectorado. En el caso de creación de un fichero, el
acuerdo especificará su finalidad, el nivel de protección de los datos y la
persona que ejercerá las funciones de responsable del fichero.
4.2. Tratamiento de datos de carácter personal
El vigente Reglamento de Medidas de Seguridad distingue varios niveles de
protección en función del tipo de datos personales que contenga un fichero.
Como los ficheros a los que se aplica este documento no tienen datos
especialmente protegidos, las medidas de seguridad aplicables son las del
nivel básico.
La información sobre una persona sólo a ella pertenece y debe obtenerse de
forma lícita. Por tanto, es necesario contar con el previo consentimiento del
interesado para almacenar y utilizar esa información, salvo en algunas
circunstancias, entre ellas: Que los datos procedan de fuentes accesibles al
público: censo promocional, repertorios telefónicos, listas de colegios
profesionales, Diarios y Boletines Oficiales y medios de comunicación). Que los
datos se refieran a las partes de una relación de negocios, laboral o
administrativa.
4.3. Derechos de los titulares de los datos
a) Enumeración:
-
Derecho de información: Al facilitar sus datos personales o con
posterioridad, el interesado puede obtener información sobre la existencia
del fichero y su finalidad.
4
220416
IT Services - Universidad de Navarra
-
Derecho de acceso: El interesado puede solicitar y obtener gratuitamente
información sobre sus datos de carácter personal, el origen de dichos datos
y las cesiones de datos que la Universidad haya efectuado.
-
Derecho de rectificación: El interesado puede rectificar o corregir sus datos
de carácter personal sometidos a tratamiento por la Universidad,
adecuándolos a la realidad existente.
-
Derecho de cancelación: En algunos casos, el interesado puede solicitar la
cancelación de sus datos personales.
b) Ejercicio de los derechos:
Cualquier empleado de la Universidad que reciba alguna solicitud relativa a los
derechos expuestos en el apartado anterior, deberá rellenar el correspondiente
formulario accesible desde la Intranet de la Universidad y remitirlo lo antes
posible a [email protected] El Responsable de Seguridad, de acuerdo con
el responsable del Fichero, y en ciertos casos con el visto bueno del Rectorado,
autorizará los cambios.
4.4. Cesiones de datos a terceros y acceso a datos por cuenta de terceros
a) Es necesaria la obtención del consentimiento del interesado antes de
realizar cualquier cesión o comunicación de datos a terceros, excepto en los
siguientes supuestos: por disposición de la ley o interés general, para estudios
epidemiológicos, por petición de la Administración de Justicia.
b) La Agencia de Protección de Datos entiende que la comunicación de datos
entre empresas de un mismo Grupo empresarial, o bien entre entidades con
una especial relación de colaboración constituye una cesión de datos a
terceros, por lo que se deberán cumplir los requisitos establecidos en la
normativa de protección de datos. Esa es la razón por la que, al recoger datos
personales, se obtiene el consentimiento de los interesados (alumnos, etc.)
para que las entidades que colaboran con la Universidad (Asociación de
Amigos, etc.) tengan acceso a los datos.
c) El acceso de terceros a los ficheros para prestar un servicio a la Universidad
no constituye una cesión o comunicación que precise consentimiento de los
interesados. Sin embargo, debe documentarse en un contrato escrito en el que
se especifiquen las condiciones de acceso a los datos y las medidas de
seguridad que se habrán de aplicar. El contrato debe ser aprobado por el
Rectorado, a propuesta del responsable del fichero.
d) Debe evitarse toda cesión no consentida por el interesado, aunque no se
realice con fines comerciales o se produzca de forma no intencionada. En este
aspecto, debe evitarse que al utilizar una lista de direcciones para enviar correo
electrónico, se incluya la lista completa en cada mensaje.
5
220416
IT Services - Universidad de Navarra
4.5. Confidencialidad de la información
Obligación de secreto profesional:
-
Esta obligación incumbe a todas las personas que, en el desarrollo de su
profesión, acceden a ficheros que contienen datos personales.
-
El deber de secreto no sólo afecta a la entidad titular del fichero, la
Universidad, sino que vincula igualmente a cuantas personas intervengan
en el tratamiento de los datos. Tales personas no podrán comunicar o
divulgar a terceros la información o los datos que manejen o de los que
tengan conocimiento en el desempeño de su cargo o funciones en la
Universidad.
-
El incumplimiento de esta obligación se tipifica como una falta grave en la
normativa de protección de datos.
4.6. Puestos de trabajo
Los empleados de la Universidad deberán respetar las estipulaciones y normas
vigentes establecidas para el correcto tratamiento, uso y manipulación del
material de trabajo, que deberá dedicarse al cumplimiento de las finalidades
previstas. No se contempla la utilización de los recursos de la Universidad con
fines personales o ajenos a los objetivos propios del puesto de trabajo
correspondiente.
En el caso de que se disponga de soportes que se puedan borrar (CDW,
cintas, zip, etc.) en los ordenadores, los usuarios deberán tener en cuenta que
no se podrá grabar y almacenar en ellos información corporativa con fines
personales, debiendo evitar cualquier salida incontrolada de información de las
instalaciones de la Universidad.
Si por motivos justificados de trabajo se requiere la salida de este tipo de
soportes de las instalaciones de la Universidad, se solicitará la correspondiente
autorización del responsable del fichero de que se trate.
-
Terminales de Trabajo: Cada usuario es responsable de su puesto o
terminal de trabajo. Por tanto, cuando lo abandone temporalmente, de
forma que no pueda controlar quién lo utiliza, deberá bloquear el
ordenador.
-
Ordenadores Portátiles: Los ordenadores portátiles se deberán mantener
siempre controlados. No está permitido almacenar en ellos datos
personales procedentes del sistema informático de la Universidad.
-
Uso de Impresoras: Cuando un usuario imprima trabajos con datos de
carácter personal procurará recogerlos inmediatamente, asegurándose de
no dejar documentos impresos en la bandeja de salida de la impresora.
6
220416
IT Services - Universidad de Navarra
4.7. Uso de Internet y correo electrónico
-
El envío electrónico de información con datos personales sólo está
autorizado dentro de la red de la Universidad, quedando prohibida su
transmisión utilizando el sistema e-mail fuera de la red corporativa, salvo
autorización expresa del responsable del fichero.
-
No está permitido mantener, de forma permanente, información sobre
datos personales en los mensajes de correo electrónico.
-
El uso de Internet está regulado por las normas generales establecidas
para toda la Universidad.
4.8. Salvaguarda y protección de las contraseñas personales
-
Contraseñas de los usuarios: Todos los usuarios de los sistemas de
información utilizados en la Universidad dispondrán de contraseñas
asociadas a sus identificadores de usuario para permitirles el acceso a los
sistemas informáticos (nombre de usuario y contraseña). Serán personales
e intransferibles. Cada usuario sólo tendrá acceso a los recursos que sean
necesarios para el desarrollo y cumplimiento de sus funciones dentro de la
Universidad.
-
Primer acceso al sistema: En el primer acceso al sistema o a una
aplicación es obligatorio, por parte del usuario, el cambio de la contraseña
asignada al ser dado de alta o en el procedimiento de asignación por olvido
de la contraseña, en cuyo caso deberá ponerse en contacto con el
Administrador del Sistema quien le advertirá de esta circunstancia.
-
Configuración de contraseñas: El usuario podrá elegir la contraseña que
desee, siempre que sea distinta de toda otra contraseña vigente en el
sistema. Estará compuesta por un conjunto de caracteres alfanuméricos en
número superior a 5 e inferior a 20.
-
Conservación de las contraseñas: Si el usuario conserva escritas las
contraseñas, deberá mantenerlas en lugares no accesibles a terceros,
evitando su colocación en lugares visibles y cercanos al puesto de trabajo
(anotaciones en el ordenador, mesa de trabajo, agendas, etc.).
-
Confidencialidad de las contraseñas: Está expresamente prohibida la
divulgación o comunicación por los usuarios de su clave de acceso a otras
personas, ya sean integrantes de la plantilla o ajenas a la Universidad. Por
tanto, cada usuario es responsable de la confidencialidad de su contraseña
y de todas las actividades realizadas sobre el sistema con su identificación
de usuario en los sistemas de la Universidad.
7
220416
IT Services - Universidad de Navarra
En caso de que el identificador de usuario o clave de acceso fuera conocido
fortuita o fraudulentamente por otra persona, el usuario modificará su
contraseña y comunicará inmediatamente la incidencia al Responsable del
Fichero.
4.9. Gestión de incidencias
Se consideran incidencias, entre otras, las siguientes:
-
Cualquier fallo del sistema de seguridad informática que posibilite el acceso
a los datos personales de personas no autorizadas.
-
El intento no autorizado de salida de un soporte.
-
La destrucción total o parcial del soporte físico en el que se encuentren
datos personales.
-
El cambio no autorizado de ubicación física de ficheros de datos
personales.
-
Los intentos de acceso no autorizados o fallidos a ficheros con datos de
carácter personal.
-
Conocimiento por terceros del identificador de usuario o clave de acceso al
sistema.
-
Modificación de datos por personal no autorizado o desconocido.
-
Pérdida de información.
-
Existencia de sistemas de información sin las debidas medidas de
seguridad.
Si surge una incidencia, el usuario deberá comunicarla inmediatamente al
Responsable del Fichero, que se encargará de su gestión y resolución,
cumplimentando el formulario que está disponible en la Intranet de la
Universidad y remitiéndolo a [email protected]
La omisión de la notificación de una incidencia será considerada como una falta
contra la seguridad de los ficheros de la Universidad por parte del usuario que
la haya conocido.
4.10. Gestión de soportes
1. Identificación de Soportes. Los soportes que contengan ficheros de datos de
carácter personal se identificarán adecuadamente con una etiqueta externa en
la que se indique:
8
220416
IT Services - Universidad de Navarra
-
De qué fichero se trata.
Qué tipo de datos contiene.
Proceso por el que se han originado.
La fecha de su creación.
Carácter confidencial de la información.
2. Almacenamiento de Soportes. Los soportes se almacenarán en lugares a los
que únicamente tengan acceso las personas autorizadas para el uso de los
datos que contengan. Se evitarán los cajones que no puedan cerrarse (sin
llave) y lugares accesibles por terceros. No se permite la existencia de soportes
fuera de los lugares previstos para su custodia, cuando no sean utilizados.
3. Se permiten la copia de información en soporte electrónico para preparar
una presentación con motivo de una reunión de trabajo, realizar una recogida
de información para un Proyecto de Investigación registrado y usos autorizados
expresamente por el Responsable del Fichero.
4. Destrucción de Soportes. Los soportes que vayan a ser retirados, destruidos
o reutilizados deberán ser borrados, de forma que se impida la recuperación
posterior de la información en ellos almacenada. Este mismo deber de
destrucción será aplicable a la información contenida en soporte papel.
5. Salida de Soportes. Ningún soporte informático que contenga datos
personales podrá moverse de su lugar de conservación sin autorización del
Responsable del Fichero. Si se trata de mover el soporte fuera del recinto de la
Universidad, será precisa la previa autorización del Rectorado.
4.11. Copias de respaldo
El personal de la Universidad deberá almacenar en el correspondiente
Directorio de Red toda la información tratada en el desarrollo de sus funciones,
para que a esta información se le apliquen las medidas de seguridad existentes
y se someta a los procedimientos de copias de respaldo realizados en la
Universidad.
5. Conclusión
El personal de la Universidad que en el desempeño de sus actividades lleve a cabo
un tratamiento de datos de carácter personal, debe conocer y cumplir las
obligaciones recogidas en este Manual, cuyo contenido se corresponde con el
"Documento de Seguridad” de la Universidad.
Se puede solicitar cualquier aclaración acerca de este manual o temas de protección
de datos personales a través de la cuenta de correo: [email protected]
9
Documentos relacionados
pautas a seguir por el alumno para la entrega de trabajos fin de
pautas a seguir por el alumno para la entrega de trabajos fin de
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
Protección de Datos
Protección de Datos
Unir y eliminar páginas en ficheros PDF.
Unir y eliminar páginas en ficheros PDF.
Los datos facilitados pasarán a formar parte de un fichero declarado
Los datos facilitados pasarán a formar parte de un fichero declarado
Los datos personales recogidos serán incorporados y - e
Los datos personales recogidos serán incorporados y - e
Tasa utilización privativa del espacio público local
Tasa utilización privativa del espacio público local
Le informamos que sus datos personales serán incorporados a un
Le informamos que sus datos personales serán incorporados a un
Descargar
Anuncio
Anuncio