Академический Документы
Профессиональный Документы
Культура Документы
Inscrito con el n CT/0003/2004 en el Registro General de Proteccin de Datos de la Agencia Espaola de Proteccin de Datos en fecha 14 de julio de 2004
Edita: Vicerrectorado de XXXXXXXXX Diseo y maquetacin: CIDI (Centro de Investigaciones de la Imagen de la UCLM) Imprime: XXXXXXXXXXXXX Depsito Legal: XX-XXX-XXX
ndice
Prembulo 5 Ttulo I. Disposiciones Generales Art.1 Art.2 Art. 3 Objeto 7 mbito de aplicacin 7 Definiciones 7
Ttulo II. Derechos de las personas Art. 4 Art. 5 Art. 6 Art. 7 Art. 8 Art. 9 Finalidad de los datos 10 Exactitud de los datos 10 Informacin en la recogida de datos 10 Consentimiento del afectado 12 Deber de secreto 13 Comunicacin de datos 13
Art. 10 Comunicacin de datos personales de alumnos y trabajadores 14 Art. 11 Comunicacin de datos con fines de investigacin 15 Art. 12 Acceso a los datos por cuenta de terceros para la prestacin de servicios a la Universidad 15 Art. 13 La Universidad de Castilla-La Mancha como encargada de tratamiento de datos de otras instituciones 16 Art. 14 Derecho de acceso 16 Art. 15 Derecho de rectificacin y cancelacin 17 Art. 16 Procedimiento de oposicin, acceso, rectificacin o cancelacin 17 Art. 17 Transferencias internacionales de datos 18 Ttulo III. Gestin de los ficheros con datos de carcter personal Cap. I Disposiciones generales Art. 18 Procedimiento de creacin, modificacin o supresin de ficheros 19 Art. 19 Niveles de seguridad 20 Art. 20 Aplicacin de los niveles de seguridad 20 Art. 21 Responsable de seguridad 20 Art. 22 Ficheros temporales 21
Cap. II Medidas de seguridad de nivel medio Art. 23 Documento de seguridad 21 Art. 24 Funciones y obligaciones del personal 22 Art. 25 Identificacin y autentificacin 22 Art. 26 Control de acceso 23 Art. 27 Control de acceso fsico 23 Art. 28 Rgimen de trabajo fuera de los locales de la ubicacin del fichero 23 Art. 29 Gestin de soportes 23 Art. 30 Copias de respaldo y recuperacin 24 Art. 31 Acceso a datos a travs de redes de comunicaciones 24 Art. 32 Pruebas con datos reales 25 Art.33 Registro de incidencias 25 Art. 34 Auditora 25 Cap.III Medidas de seguridad de nivel alto Art. 35 Distribucin de soportes 26 Art. 36 Registro de accesos 26 Disposicin final 26 Anexo I 27 Anexo II 28 Anexo III 29 Anexo IV 30 Anexo V 31 Anexo VI 32 Anexo VII 34 Anexo VIII 35 Anexo IX 37 Anexo X 38
Prembulo
La generalizacin del uso de los medios electrnicos, informticos y telemticos supone unos beneficios evidentes para los ciudadanos, aunque tambin incrementa el riesgo de vulnerabilidad de los datos almacenados que debe minimizarse con la adopcin de medidas de seguridad que generen confianza en las personas afectadas y en los propios usuarios de las aplicaciones. A tal efecto, el artculo 18.4 de la Constitucin Espaola y el Tribunal Constitucional en su sentencia 292/2000 establecen el derecho fundamental autnomo a la proteccin de datos personales. Este derecho excede el mbito propio del derecho fundamental a la intimidad y se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informtica es as un derecho a controlar el uso de los mismos datos insertos en un programa informtico y comprende, entre otros aspectos, la oposicin del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legtimo que justific su obtencin. Como desarrollo al mandato constitucional, la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD), prev en su artculo 9, la obligacin del responsable del fichero de adoptar las medidas de ndole tcnica y organizativas que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. De forma voluntaria, el artculo 32 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal permite adoptar cdigos de conducta que establezcan las condiciones de organizacin, rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y
uso de la informacin personal, as como las garantas, en su mbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y sus normas de desarrollo. Este mecanismo de autorregulacin ha sido considerado por la Universidad de Castilla-La Mancha como el mejor instrumento para conseguir un triple objetivo: primero, cumplir de la forma ms sencilla y segura con la legislacin correspondiente a travs de un documento nico que rena todos los elementos esenciales, segundo, aumentar la proteccin de los datos personales almacenados en ficheros automatizados incrementando las medidas de seguridad legalmente exigidas, y tercero, servir como material educativo para la comunidad universitaria, con especial inters en los alumnos, contribuyendo al conocimiento correcto de este derecho fundamental a la proteccin de datos personales y sea utilizado en otros mbitos y en su posterior vida profesional. Con objeto de facilitar su compresin y su cumplimiento se han unificado principios de proteccin y medidas de seguridad. Es conveniente destacar, por ejemplo, la obligacin de incluir una nota informativa sobre la finalidad de los datos personales recogidos en cualquier formulario aunque no vayan a ser objeto de tratamiento automatizado, o la aplicacin de la mayora de las medidas de seguridad del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, a todos los ficheros de la Universidad de Castilla-La Mancha aunque no sea exigible por la clase de datos almacenados. Esta decisin ha conducido a que a la mayora de los ficheros se les apliquen las medidas de seguridad de nivel alto, ofreciendo una mayor seguridad, aunque el citado Reglamento no lo exige para este tipo de ficheros. El carcter dinmico de la vida universitaria aconseja disponer de mecanismos de revisin que permitan la actualizacin constante de estas medidas de seguridad. A tal efecto, la aplicacin de este cdigo de conducta y la legislacin vigente a los ficheros con datos de carcter personal en la Universidad de Castilla-La Mancha estar sometido, adems de a la Agencia Espaola de Proteccin de Datos (AEPD), a un doble control aadido: internamente, a travs de una comisin de la Universidad y de forma externa por una auditora anual.
Artculo 3. Definiciones.
A los efectos del presente cdigo de conducta se entender por: a) Datos de carcter personal: cualquier informacin concerniente a personas fsicas identificadas o identificables. b) Fichero: todo conjunto organizado de datos de carcter personal, cualquiera que fuera la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. c) Tratamiento de datos: operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Afectado o interesado: persona fsica titular de los datos que sean objeto de tratamiento a que se refiere el apartado c) del presente artculo. e) Procedimiento de disociacin: todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable. f) Responsable interno: Persona de la Universidad de Castilla-La Mancha que por delegacin del Rector realiza las tareas encargadas al responsable del fichero. g) Encargado del tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta de la Universidad de CastillaLa Mancha. h) Consentimiento del interesado: toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesin o comunicacin de datos: toda revelacin de datos realizada a una persona distinta del interesado. j) Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin ms exigencias que, en su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo promocional1, los repertorios telefnicos en los trminos previstos por su normativa especfica y las listas de personas pertenecientes a grupos de profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo, tienen el carcter de fuentes de acceso pblico los diarios y boletines oficiales y los medios de comunicacin. k) Sistemas de informacin: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carcter personal. l) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. m) Recurso: cualquier parte componente de un sistema de informacin.
Cuando el mismo se haya obtenido de acuerdo a lo previsto en el artculo 31.1 de la LOPD. Sin embargo, la Disposicin Transitoria Segunda de la citada Ley establece que reglamentariamente se desarrollarn los procedimientos de formacin del Censo Promocional y hasta la fecha no existen disposiciones reglamentarias. Por lo tanto, no existe ningn fichero de Censo Promocional.
n) Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. o) Identificacin: procedimiento de reconocimiento de la identidad de un usuario. p) Autenticacin: procedimiento de comprobacin de la identidad de un usuario. q) Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos. r) Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres que puede ser usada en la autenticacin de un usuario. s) Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los datos. t) Soporte: objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recuperar datos. u) Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. v) Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.
10
a. De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin. b. Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c. De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos. d. De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin. e. De la identidad y direccin del responsable del tratamiento.
2. Aunque el artculo 5 de la LOPD establece que no ser necesaria la
informacin de los apartados b), c) y d) anteriores si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban, la Universidad de Castilla-La Mancha informar siempre a los interesados de la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, y del rgano ante el que se ejercitan tales derechos.
3. Esta informacin en la recogida de datos personales slo es necesaria cuando los mismos vayan a formar parte de un fichero de la Universidad de Castilla-La Mancha pero dado que el interesado puede tener dudas cuando se le solicitan datos personales acerca de si estos van a formar parte de algn fichero para su tratamiento, la Universidad informar siempre de la finalidad de los datos, cuando sean recogidos a travs de un formulario, especificando si van a formar parte o no del algn fichero de la Universidad. 4. Con el fin de llevar el derecho de informacin a su mxima expresin, la Universidad informar de la existencia de este cdigo de conducta cuando recoja datos personales a travs de formularios, indicando su ubicacin en Internet en la web de la Universidad y de la AEPD, para su consulta, y se tendr a su disposicin una copia gratuita del cdigo. 5. Cuando los datos de carcter personal no hayan sido recabados del interesado, ste deber ser informado de forma expresa, precisa e inequvoca, por la Universidad de Castilla-La Mancha dentro de los tres meses siguientes al momento de registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, de la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, y de la identidad y direccin del responsable del tratamiento.
11
6. En el anexo I se incluye la clusula informativa de la carta a los estudiantes de enseanza secundaria cuyos datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha, donde se les comunica la clave de acceso para la gestin administrativa, a travs de Internet, de su acceso a la Universidad con los trminos del punto anterior. 7. En la organizacin de cursos por la Fundacin General de la Universidad de Castilla-La Mancha que tengan un reconocimiento como ttulo propio de la Universidad o su convalidacin como crditos de libre eleccin, se informar en la recogida de datos por parte de la Fundacin de esta cesin de datos para esa finalidad. 8. En los anexos II, III y V se incluyen las clusulas informativas de los formularios donde se recogen los datos de los alumnos y de los trabajadores en su ingreso en la Universidad, y la clusula informativa de los formularios donde se recogen datos personales que no van a formar parte de ningn fichero.
12
personal. En tal supuesto, la Universidad excluir del tratamiento los datos relativos al afectado.
5. Respecto a los datos personales relativos a la salud, estos slo podrn ser recabados y tratados automatizadamente cuando por razones de inters general as lo disponga una Ley o el interesado consienta expresamente. 6. Salvo la afiliacin sindical para el nico fin de descuento de la cuota sindical en el salario y previo consentimiento expreso y por escrito del interesado, no se realizarn tratamientos de datos relativos a ideologa, religin o creencias. Cuando en relacin con los datos de afiliacin sindical se proceda a recabar el consentimiento expreso , se advertir al interesado acerca de su derecho a no prestarlo.
municados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legtimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no ser preciso:
a) Cuando la cesin est autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al pblico. c) Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga
13
como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. f) Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica.
3. Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a un tercero, cuando la informacin que se facilite al interesado no le permita conocer la finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. 4. El consentimiento para la comunicacin de los datos de carcter personal tiene tambin un carcter de revocable. 5. Aqul a quien se comuniquen los datos de carcter personal se obliga, por el solo hecho de la comunicacin, a la observancia de las disposiciones de la LOPD. 6. Si la comunicacin se efecta previo procedimiento de disociacin, no ser aplicable lo establecido en los apartados anteriores.
a. Datos de alumnos: i. Ministerio de Educacin y Ciencia. ii. Consejo de Coordinacin Universitaria iii. Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha iv. Tesoreria General de la Seguridad Social para los alumnos menores de 28 aos
14
b. Datos de empleados: i. Agencia Estatal de Administracin Tributaria ii. Tesorera General de la Seguridad Social iii. MUFACE iv. Direccin General de Costes de Personal y Pensiones Pblicas v. Sindicatura de Cuentas de Castilla-La Mancha
3. El uso de las nuevas tecnologas de comunicacin permiten a la
Universidad cumplir de una forma ms eficaz y eficiente sus objetivos sociales. A tal efecto, la Universidad comunica los siguientes datos: a. El nombre, apellidos, telfono y extensin, direccin de correo electrnico, puesto y centro de trabajo de los empleados a travs de la Intranet de la Universidad. Esta informacin es accesible a travs de un servicio de bsqueda en una pgina web que limita a treinta el nmero de empleados visualizados. b. La publicidad de notas de exmenes de alumnos en pginas Web slo se realizar con un control de acceso que impida su consulta a personas distintas al interesado. c. Las resoluciones de las convocatorias de ofertas de trabajo de la Universidad en pginas Web slo indicarn el nombre, apellidos, DNI y puntuacin de los afectados, y en la base de la convocatoria o en el formulario de recogida de datos se informar de esta publicidad, indicando su direccin Internet y la duracin de esa publicidad.
Artculo 12. Acceso a los datos por cuenta de terceros para la prestacin de servicios a la Universidad
1. No se considerar comunicacin de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestacin de un servicio a la Universidad de Castilla-La Mancha. 2. La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato que deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido, establecindose
15
expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones de la Universidad de Castilla-La Mancha, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. En el contrato se estipularn, asimismo, las medidas de seguridad que el encargado del tratamiento est obligado a implementar.
3. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos a la Universidad de Castilla-La Mancha, al igual que cualquier soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, ser considerado tambin responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. 5. El tratamiento de datos por parte de la Fundacin General de la Universidad de Castilla-La Mancha cuyo responsable de fichero sea la Universidad de Castilla-La Mancha, se realizar como prestacin de un servicio a sta no estando permitido su utilizacin para ningn otro uso. 6. En el anexo VI se incluye las clusulas relativas a la proteccin de datos a insertar en todos los pliegos de condiciones de contratos de prestacin de servicios a la Universidad.
Artculo 13. La Universidad de Castilla-La Mancha como encargada de tratamiento de datos de otras instituciones
En la manipulacin de datos de otras instituciones tanto dependientes de la universidad (fundaciones y empresas) como ajenas, se aplicar este cdigo de conducta en su tratamiento interno as como las medidas de seguridad acordadas con esa institucin.
16
no, en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos.
3. El derecho de acceso a que se refiere este artculo slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes.
17
2. Los derechos de oposicin, acceso, rectificacin o cancelacin de datos son personalsimos y sern ejercidos nicamente por el interesado. No obstante, el interesado podr actuar a travs del representante legal cuando aquel se encuentre en situacin de incapacidad o minora de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso ser necesario que el representante legal acredite tal condicin. 3. No se exigir contraprestacin alguna por el ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin. 4. Con objeto de facilitar el ejercicio de estos derechos, en el Registro General de la Universidad y sus Registro Auxiliares se tendr a disposicin de los interesados, los formularios de los anexos VII, VIII, IX y X adecuados a esta finalidad. 5. Los padres o tutores no tendrn acceso al expediente acadmico o cualquier otro dato personal de sus hijos salvo en los supuestos indicados en el apartado 2 de este artculo. Esta imposibilidad se extiende a los datos personales de alumnos y titulados fallecidos. 6. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin, podr ponerlo en conocimiento de la Agencia Espaola de Proteccin de Datos.
18
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
Las disposiciones de creacin o de modificacin de ficheros debern indicar: la finalidad del fichero y los usos previstos para el mismo, las personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos de carcter personal, la estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal incluidos en el mismo, las cesiones de datos de carcter personal y, en su caso, las transferencias de datos que se prevean a pases terceros, la Universidad de Castilla-La Mancha como responsable del fichero, el Rectorado de la Universidad como la unidad donde se puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin y las medidas de seguridad con indicacin del nivel bsico, medio o alto exigible.
19
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
2. Cada fichero tendr un responsable interno nombrado por el Rector mediante resolucin publicada en el Boletn Oficial de la Universidad de Castilla-La Mancha. 3. Cuando una unidad de la Universidad necesite por razones de servicio recabar datos distintos a los mencionados en los ficheros registrados de la Universidad de Castilla-La Mancha, lo solicitar al Director Acadmico de Seguridad Informtica mediante escrito motivado. En caso de reunir todas las condiciones requeridas por la Ley, sus reglamentos de desarrollo y este cdigo de conducta, el Director Acadmico de Seguridad Informtica junto con el Gabinete Jurdico llevar a cabo las actuaciones procedimentales precisas para la modificacin de ficheros y su regularizacin ante los rganos competentes.
20
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
2. El Director Acadmico de Seguridad Informtica actuar como responsable de seguridad y podr apoyarse en las personas que estime oportuno para la gestin y administracin de la seguridad.
a) mbito de aplicacin del documento con especificacin detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de seguridad exigido en la normativa vigente y en este cdigo de conducta. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan. e) Procedimiento de notificacin, gestin y respuesta ante las incidencias. f) Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos. g) Controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento de seguridad.
21
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
22
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
Artculo 28. Rgimen de trabajo fuera de los locales de la ubicacin del fichero.
La ejecucin de tratamiento de datos de carcter personal fuera de los locales de la ubicacin del fichero deber ser autorizada expresamente por el responsable interno del fichero y, en todo caso, deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
23
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
4. Se dispondr de un sistema de registro de salida de soportes informticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamente autorizada. 5. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, previamente a que se proceda a su baja en el inventario. 6. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos.
24
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
25
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III
Disposicin final
Entrada en vigor: El presente cdigo de conducta entrar en vigor en el plazo de tres meses, contado desde su registro en la Agencia Espaola de Proteccin de Datos.
26
Anexo I
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha, y pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del acceso a las enseanzas oficiales. Los usos que se dan al fichero son: gestin de pruebas de acceso a la Universidad, servicios de apoyo para el ingreso en la Universidad y obtencin de estadsticas. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.
27
Anexo II
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin administrativa del alumnado de la Universidad. Los usos que se dan al fichero son los derivados de la gestin administrativa del alumnado: acceso a la universidad, matrcula, becas, biblioteca, secretara virtual, apoyo a la docencia, servicios informticos, archivo, servicio de deporte universitario, expedicin de ttulos y obtencin de estadsticas. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.
28
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo III
Anexo III
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del personal adscrito a la Universidad. Los usos que se dan al fichero son los derivados de la gestin de recursos humanos, procesos de seleccin, nmina, formacin, archivo, biblioteca, servicios informticos; y en el caso de personal docente e investigador los usos derivados de los servicios de apoyo a la docencia y gestin de la actividad investigadora. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.
29
Anexo IV
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin de los programas de intercambio universitario con universidades extranjeras. Los usos que se dan al fichero son los derivados de la gestin administrativa del programa de intercambio: seleccin del alumnado, ayudas econmicas y obtencin de estadsticas. En el caso de ser seleccionado en el programa de intercambio, los datos personales recogidos sern comunicados a los organismos nacionales e internacionales responsables del programa de intercambio y a la universidad extranjera de destino. Si ha solicitado ayuda econmica y sta es concedida, da su consentimiento a que su nombre, apellidos y direccin sean comunicados a la entidad privada que financia la ayuda econmica para el envo de informacin sobre est. En el caso de no conceder este consentimiento, marque una cruz en la casilla adjunta, y podr participar en el programa de intercambio pero sin la ayuda econmica correspondiente. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.
30
Anexo V
Le informamos de que los datos personales recogidos en este formulario no pasarn a formar parte de ningn fichero de la Universidad de Castilla-La Mancha. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.
31
Anexo VI
La empresa adjudicataria y el personal encargado de la realizacin de las tareas guardarn secreto profesional sobre todas las informaciones, documentos y asuntos a los que tenga acceso o conocimiento durante la vigencia del contrato, estando obligados a no hacer pblicos o enajenar cuantos datos conozcan como consecuencia o con ocasin de su ejecucin, incluso despus de finalizar el plazo contractual. El resultado de las tareas realizadas, as como el soporte utilizado (papel, fichas, diskettes, etc) sern propiedad de la Universidad de Castilla-La Mancha. La documentacin, se entregar al adjudicatario para el exclusivo fin de la realizacin de las tareas objeto de este contrato, quedando prohibido, para el adjudicatario y para el personal encargado de su realizacin, su reproduccin por cualquier medio y la cesin total o parcial a cualquier persona fsica o jurdica. Lo anterior se extiende asimismo al producto de dichas tareas. Si la empresa adjudicataria aporta equipos informticos, una vez finalizada las tareas el adjudicatario previamente a retirar los equipos informticos, debern borrar toda la informacin utilizada o que se derive de la ejecucin del contrato, mediante formateo del disco duro. La destruccin de la documentacin de apoyo si no se considerara indispensable, se efectuar mediante mquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, realizndose esta operacin en el lugar donde se realicen los trabajos. El/los licitadores aportarn una memoria descriptiva de las medidas que adoptarn para asegurar la confidencialidad e integridad de los datos manejados y de la documentacin facilitada. Asimismo, el/los adjudicatarios debern comunicar a la Universidad de Castilla-La Mancha antes de transcurridos siete das de la fecha de comunicacin de la adjudicacin, la persona o personas que sern directamente responsables de la puesta en prctica y de la inspeccin de dichas medidas de seguridad, adjuntando su perfil profesional.
32
El/los adjudicatarios se compromete a no dar informacin y datos proporcionados por la Universidad de Castilla-La Mancha para cualquier otro uso no previsto en el presente Pliego. En particular, no proporcionar, sin autorizacin escrita de la Universidad, copia de los documentos o datos a terceras personas. La empresa adjudicataria declara expresamente que conoce quedar obligada al cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y expresamente en lo indicado en su artculos 9 y 10, en cuanto a la seguridad y al deber de secreto. La empresa adjudicataria se compromete explcitamente a formar e informar a su personal en las obligaciones que de tales normas dimanan. Igualmente sern de aplicacin las disposiciones de desarrollo de las normas anteriores que se encuentren en vigor a la adjudicacin de este contrato que puedan estarlo durante su vigencia, y aquellas normas del Reglamente de Medidas de Seguridad, aprobado por Real Decreto 994/1999 de 11 junio. Todos los estudios y documentos elaborados en ejecucin del presente contrato sern de propiedad de la Universidad de Castilla-La Mancha, quien podr reproducirlos, publicarlos y divulgarlos, total o parcialmente, sin que pueda oponerse a ello el/los adjudicatario/s autor de los trabajos. El/los adjudicatarios no podr hacer ningn uso o divulgacin de los estudios y documentos elaborados en base a este pliego de condiciones, bien sea en forma total o parcial, directa o extractada, sin autorizacin expresa de la Universidad de Castilla-La Mancha. Todos los datos manejados por la empresa adjudicataria a causa de la prestacin del servicio, incluyendo los soportes utilizados, (papel, fichas, disquetes,...) sern propiedad de la Universidad de Castilla-La Mancha, sin que la empresa adjudicataria pueda conservar copia o utilizarlos con fin distinto al que figura en el contrato de servicios, estando obligados al cumplimiento de la Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de Datos de Carcter Personal y muy especialmente en lo indicado en su artculo 12.
33
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VII
Anexo VII
Ejercicio del derecho de acceso
Peticin de informacin sobre los datos personales incluidos ficheros.
Solicita:
1. Que se le facilite gratuitamente el acceso a sus ficheros en el plazo mximo de un mes a contar desde la recepcin de esta solicitud. 2. Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la informacin a la direccin arriba indicada en el plazo de diez das desde la resolucin estimatoria de la solicitud de acceso. 3. Que esta informacin comprenda de modo legible e inteligible los datos que sobre mi persona estn incluidos en sus ficheros, y los resultantes de cualquier elaboracin, proceso o tratamiento, as como el origen de los datos, los cesionarios y la especificacin de los usos concretos y finalidades para los que se almacenaron. En ............................................... a ......... de ............................... de 200...
34
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VIII
Anexo VIII
Ejercicio del derecho de rectificacin
Peticin de correcin de datos personales inexactos o incorrectos objeto de tratamiento incluidos en ficheros.
Solicita:
1. Que se proceda gratuitamente a la efectiva correccin en el plazo de diez das desde la recepcin de esta solicitud, de los datos inexactos relativos a mi persona que se encuentren en sus ficheros. 2. Los datos que hay rectificar se enumeran en la hoja adjunta, haciendo referencia a los documentos que se acompaan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos. 3. Que me comuniquen de forma escrita a la direccin arriba indicada, la rectificacin de los datos una vez realizada. 4. Que, en el caso de que el responsable del fichero considere que la rectificacin o la cancelacin no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das sealado. En ............................................... a ......... de ............................... de 200...
35
Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VIII
Dato Correcto
Documento Acreditativo
36
Anexo IX
Ejercicio del derecho de cancelacin
Peticin de supresin de datos personales objeto de tratamiento incluidos en ficheros.
Solicita:
1. Que se proceda al bloqueo de los datos en el plazo de diez das desde la recepcin de esta solicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al no existir vinculacin jurdica o disposicin legal que justifique su mantenimiento. 2. Una vez transcurrido el plazo de prescripcin de las posibles responsabilidades nacidas del tratamiento de los datos, que se proceda a la supresin de los mismos y se me comunique de forma escrita a la direccin arriba indicada su cancelacin efectiva. 3. Que, en el caso de que el responsable del fichero considere que dicha cancelacin no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das indicados. En .................................................. a ......... de ............................... de 200...
37
Anexo X
Ejercicio del derecho de oposicin
Peticin de exclusin del tratamiento de los datos incluidos en un fichero, cuando existen motivos fundados y legtimos.
Solicita:
1. Que se proceda a excluir en el plazo de diez das desde la recepcin de esta solicitud, los datos relativos a mi persona que se encuentren en sus ficheros, por existir motivos fundados y legtimos relativos a una concreta situacin personal. 2. Los datos que hay que excluir se enumeran en la hoja adjunta, haciendo referencia a los documentos que se acompaan a esta solicitud y que acreditan, en caso de ser necesario, la justificacin de esta peticin. 3. Que me comuniquen de forma escrita a la direccin arriba indicada, la exclusin de los datos una vez realizada. 4. Que, en el caso de que el responsable del fichero considere que la oposicin al tratamiento de esos datos no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das indicado. En .................................................. a ......... de ............................... de 200...
38
Datos a oponer
Documento Acreditativo
39