Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha

Inscrito con el n CT/0003/2004 en el Registro General de Proteccin de Datos de la Agencia Espaola de Proteccin de Datos en fecha 14 de julio de 2004

Edita: Vicerrectorado de XXXXXXXXX Diseo y maquetacin: CIDI (Centro de Investigaciones de la Imagen de la UCLM) Imprime: XXXXXXXXXXXXX Depsito Legal: XX-XXX-XXX

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha ndice

ndice
Prembulo 5 Ttulo I. Disposiciones Generales Art.1 Art.2 Art. 3 Objeto 7 mbito de aplicacin 7 Definiciones 7

Ttulo II. Derechos de las personas Art. 4 Art. 5 Art. 6 Art. 7 Art. 8 Art. 9 Finalidad de los datos 10 Exactitud de los datos 10 Informacin en la recogida de datos 10 Consentimiento del afectado 12 Deber de secreto 13 Comunicacin de datos 13

Art. 10 Comunicacin de datos personales de alumnos y trabajadores 14 Art. 11 Comunicacin de datos con fines de investigacin 15 Art. 12 Acceso a los datos por cuenta de terceros para la prestacin de servicios a la Universidad 15 Art. 13 La Universidad de Castilla-La Mancha como encargada de tratamiento de datos de otras instituciones 16 Art. 14 Derecho de acceso 16 Art. 15 Derecho de rectificacin y cancelacin 17 Art. 16 Procedimiento de oposicin, acceso, rectificacin o cancelacin 17 Art. 17 Transferencias internacionales de datos 18 Ttulo III. Gestin de los ficheros con datos de carcter personal Cap. I Disposiciones generales Art. 18 Procedimiento de creacin, modificacin o supresin de ficheros 19 Art. 19 Niveles de seguridad 20 Art. 20 Aplicacin de los niveles de seguridad 20 Art. 21 Responsable de seguridad 20 Art. 22 Ficheros temporales 21

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha ndice

Cap. II Medidas de seguridad de nivel medio Art. 23 Documento de seguridad 21 Art. 24 Funciones y obligaciones del personal 22 Art. 25 Identificacin y autentificacin 22 Art. 26 Control de acceso 23 Art. 27 Control de acceso fsico 23 Art. 28 Rgimen de trabajo fuera de los locales de la ubicacin del fichero 23 Art. 29 Gestin de soportes 23 Art. 30 Copias de respaldo y recuperacin 24 Art. 31 Acceso a datos a travs de redes de comunicaciones 24 Art. 32 Pruebas con datos reales 25 Art.33 Registro de incidencias 25 Art. 34 Auditora 25 Cap.III Medidas de seguridad de nivel alto Art. 35 Distribucin de soportes 26 Art. 36 Registro de accesos 26 Disposicin final 26 Anexo I 27 Anexo II 28 Anexo III 29 Anexo IV 30 Anexo V 31 Anexo VI 32 Anexo VII 34 Anexo VIII 35 Anexo IX 37 Anexo X 38

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Prembulo

Prembulo
La generalizacin del uso de los medios electrnicos, informticos y telemticos supone unos beneficios evidentes para los ciudadanos, aunque tambin incrementa el riesgo de vulnerabilidad de los datos almacenados que debe minimizarse con la adopcin de medidas de seguridad que generen confianza en las personas afectadas y en los propios usuarios de las aplicaciones. A tal efecto, el artculo 18.4 de la Constitucin Espaola y el Tribunal Constitucional en su sentencia 292/2000 establecen el derecho fundamental autnomo a la proteccin de datos personales. Este derecho excede el mbito propio del derecho fundamental a la intimidad y se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informtica es as un derecho a controlar el uso de los mismos datos insertos en un programa informtico y comprende, entre otros aspectos, la oposicin del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legtimo que justific su obtencin. Como desarrollo al mandato constitucional, la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD), prev en su artculo 9, la obligacin del responsable del fichero de adoptar las medidas de ndole tcnica y organizativas que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. De forma voluntaria, el artculo 32 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal permite adoptar cdigos de conducta que establezcan las condiciones de organizacin, rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Prembulo

uso de la informacin personal, as como las garantas, en su mbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y sus normas de desarrollo. Este mecanismo de autorregulacin ha sido considerado por la Universidad de Castilla-La Mancha como el mejor instrumento para conseguir un triple objetivo: primero, cumplir de la forma ms sencilla y segura con la legislacin correspondiente a travs de un documento nico que rena todos los elementos esenciales, segundo, aumentar la proteccin de los datos personales almacenados en ficheros automatizados incrementando las medidas de seguridad legalmente exigidas, y tercero, servir como material educativo para la comunidad universitaria, con especial inters en los alumnos, contribuyendo al conocimiento correcto de este derecho fundamental a la proteccin de datos personales y sea utilizado en otros mbitos y en su posterior vida profesional. Con objeto de facilitar su compresin y su cumplimiento se han unificado principios de proteccin y medidas de seguridad. Es conveniente destacar, por ejemplo, la obligacin de incluir una nota informativa sobre la finalidad de los datos personales recogidos en cualquier formulario aunque no vayan a ser objeto de tratamiento automatizado, o la aplicacin de la mayora de las medidas de seguridad del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal, a todos los ficheros de la Universidad de Castilla-La Mancha aunque no sea exigible por la clase de datos almacenados. Esta decisin ha conducido a que a la mayora de los ficheros se les apliquen las medidas de seguridad de nivel alto, ofreciendo una mayor seguridad, aunque el citado Reglamento no lo exige para este tipo de ficheros. El carcter dinmico de la vida universitaria aconseja disponer de mecanismos de revisin que permitan la actualizacin constante de estas medidas de seguridad. A tal efecto, la aplicacin de este cdigo de conducta y la legislacin vigente a los ficheros con datos de carcter personal en la Universidad de Castilla-La Mancha estar sometido, adems de a la Agencia Espaola de Proteccin de Datos (AEPD), a un doble control aadido: internamente, a travs de una comisin de la Universidad y de forma externa por una auditora anual.

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo I

Ttulo I Disposiciones Generales

Artculo 1. Objeto.
Este cdigo de conducta tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar.

Artculo 2. mbito de aplicacin.

El presente cdigo de conducta ser de aplicacin a los datos de carcter personal que figuren en ficheros automatizados de la Universidad de CastillaLa Mancha, y a toda modalidad de uso posterior de estos datos.

Artculo 3. Definiciones.
A los efectos del presente cdigo de conducta se entender por: a) Datos de carcter personal: cualquier informacin concerniente a personas fsicas identificadas o identificables. b) Fichero: todo conjunto organizado de datos de carcter personal, cualquiera que fuera la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. c) Tratamiento de datos: operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo I

d) Afectado o interesado: persona fsica titular de los datos que sean objeto de tratamiento a que se refiere el apartado c) del presente artculo. e) Procedimiento de disociacin: todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable. f) Responsable interno: Persona de la Universidad de Castilla-La Mancha que por delegacin del Rector realiza las tareas encargadas al responsable del fichero. g) Encargado del tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta de la Universidad de CastillaLa Mancha. h) Consentimiento del interesado: toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesin o comunicacin de datos: toda revelacin de datos realizada a una persona distinta del interesado. j) Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin ms exigencias que, en su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo promocional1, los repertorios telefnicos en los trminos previstos por su normativa especfica y las listas de personas pertenecientes a grupos de profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo, tienen el carcter de fuentes de acceso pblico los diarios y boletines oficiales y los medios de comunicacin. k) Sistemas de informacin: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carcter personal. l) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. m) Recurso: cualquier parte componente de un sistema de informacin.

Cuando el mismo se haya obtenido de acuerdo a lo previsto en el artculo 31.1 de la LOPD. Sin embargo, la Disposicin Transitoria Segunda de la citada Ley establece que reglamentariamente se desarrollarn los procedimientos de formacin del Censo Promocional y hasta la fecha no existen disposiciones reglamentarias. Por lo tanto, no existe ningn fichero de Censo Promocional.

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo I

n) Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. o) Identificacin: procedimiento de reconocimiento de la identidad de un usuario. p) Autenticacin: procedimiento de comprobacin de la identidad de un usuario. q) Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos. r) Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres que puede ser usada en la autenticacin de un usuario. s) Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los datos. t) Soporte: objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recuperar datos. u) Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. v) Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

Ttulo II Derechos de las personas

Artculo 4. Finalidad de los datos.
1. Los datos de carcter personal slo se podrn recoger para su tratamiento, as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas, explcitas y legtimas para las que se hayan obtenido. 2. Los datos de carcter personal objeto de tratamiento no podrn usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerar incompatible el tratamiento posterior de stos con fines histricos, estadsticos o cientficos.

Artculo 5. Exactitud de los datos.

1. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. 2. Si los datos de carcter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el articulo 16 de la LOPD. 3. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Artculo 6. Informacin en la recogida de datos.

1. Los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco:

10

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

a. De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin. b. Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c. De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos. d. De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin. e. De la identidad y direccin del responsable del tratamiento.
2. Aunque el artculo 5 de la LOPD establece que no ser necesaria la

informacin de los apartados b), c) y d) anteriores si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban, la Universidad de Castilla-La Mancha informar siempre a los interesados de la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, y del rgano ante el que se ejercitan tales derechos.
3. Esta informacin en la recogida de datos personales slo es necesaria cuando los mismos vayan a formar parte de un fichero de la Universidad de Castilla-La Mancha pero dado que el interesado puede tener dudas cuando se le solicitan datos personales acerca de si estos van a formar parte de algn fichero para su tratamiento, la Universidad informar siempre de la finalidad de los datos, cuando sean recogidos a travs de un formulario, especificando si van a formar parte o no del algn fichero de la Universidad. 4. Con el fin de llevar el derecho de informacin a su mxima expresin, la Universidad informar de la existencia de este cdigo de conducta cuando recoja datos personales a travs de formularios, indicando su ubicacin en Internet en la web de la Universidad y de la AEPD, para su consulta, y se tendr a su disposicin una copia gratuita del cdigo. 5. Cuando los datos de carcter personal no hayan sido recabados del interesado, ste deber ser informado de forma expresa, precisa e inequvoca, por la Universidad de Castilla-La Mancha dentro de los tres meses siguientes al momento de registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, de la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, y de la identidad y direccin del responsable del tratamiento.

11

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

6. En el anexo I se incluye la clusula informativa de la carta a los estudiantes de enseanza secundaria cuyos datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha, donde se les comunica la clave de acceso para la gestin administrativa, a travs de Internet, de su acceso a la Universidad con los trminos del punto anterior. 7. En la organizacin de cursos por la Fundacin General de la Universidad de Castilla-La Mancha que tengan un reconocimiento como ttulo propio de la Universidad o su convalidacin como crditos de libre eleccin, se informar en la recogida de datos por parte de la Fundacin de esta cesin de datos para esa finalidad. 8. En los anexos II, III y V se incluyen las clusulas informativas de los formularios donde se recogen los datos de los alumnos y de los trabajadores en su ingreso en la Universidad, y la clusula informativa de los formularios donde se recogen datos personales que no van a formar parte de ningn fichero.

Artculo 7. Consentimiento del afectado.

1. El tratamiento de los datos de carcter personal requerir el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa. 2. No ser preciso el consentimiento cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de la Universidad en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del artculo 7, apartado 6, de la LOPD, o cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por la Universidad de Castilla-La Mancha o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin

12

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

personal. En tal supuesto, la Universidad excluir del tratamiento los datos relativos al afectado.
5. Respecto a los datos personales relativos a la salud, estos slo podrn ser recabados y tratados automatizadamente cuando por razones de inters general as lo disponga una Ley o el interesado consienta expresamente. 6. Salvo la afiliacin sindical para el nico fin de descuento de la cuota sindical en el salario y previo consentimiento expreso y por escrito del interesado, no se realizarn tratamientos de datos relativos a ideologa, religin o creencias. Cuando en relacin con los datos de afiliacin sindical se proceda a recabar el consentimiento expreso , se advertir al interesado acerca de su derecho a no prestarlo.

Artculo 8. Deber de secreto.

1. Toda persona que intervenga en cualquier fase del tratamiento de los datos de carcter personal est obligado al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con la Universidad de Castilla-La Mancha. 2. El incumplimiento del deber de secreto ser sancionado de conformidad con lo previsto en la legislacin vigente.

Artculo 9. Comunicacin de datos.

1. Los datos de carcter personal objeto del tratamiento slo podrn ser co-

municados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legtimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no ser preciso:

a) Cuando la cesin est autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al pblico. c) Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga

13

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. f) Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica.
3. Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a un tercero, cuando la informacin que se facilite al interesado no le permita conocer la finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. 4. El consentimiento para la comunicacin de los datos de carcter personal tiene tambin un carcter de revocable. 5. Aqul a quien se comuniquen los datos de carcter personal se obliga, por el solo hecho de la comunicacin, a la observancia de las disposiciones de la LOPD. 6. Si la comunicacin se efecta previo procedimiento de disociacin, no ser aplicable lo establecido en los apartados anteriores.

Artculo 10. Comunicacin de datos personales de alumnos y trabajadores

1. La comunicacin de datos a terceros slo se producir cuando una ley obligue a la Universidad a esa comunicacin o el interesado consienta. 2. La Universidad, en cumplimiento de la legislacin vigente, realiza las siguientes comunicaciones para el ejercicio de las funciones que tienen atribuidas y en los supuestos y condiciones establecidos en la normativa correspondiente:

a. Datos de alumnos: i. Ministerio de Educacin y Ciencia. ii. Consejo de Coordinacin Universitaria iii. Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha iv. Tesoreria General de la Seguridad Social para los alumnos menores de 28 aos

14

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

b. Datos de empleados: i. Agencia Estatal de Administracin Tributaria ii. Tesorera General de la Seguridad Social iii. MUFACE iv. Direccin General de Costes de Personal y Pensiones Pblicas v. Sindicatura de Cuentas de Castilla-La Mancha
3. El uso de las nuevas tecnologas de comunicacin permiten a la

Universidad cumplir de una forma ms eficaz y eficiente sus objetivos sociales. A tal efecto, la Universidad comunica los siguientes datos: a. El nombre, apellidos, telfono y extensin, direccin de correo electrnico, puesto y centro de trabajo de los empleados a travs de la Intranet de la Universidad. Esta informacin es accesible a travs de un servicio de bsqueda en una pgina web que limita a treinta el nmero de empleados visualizados. b. La publicidad de notas de exmenes de alumnos en pginas Web slo se realizar con un control de acceso que impida su consulta a personas distintas al interesado. c. Las resoluciones de las convocatorias de ofertas de trabajo de la Universidad en pginas Web slo indicarn el nombre, apellidos, DNI y puntuacin de los afectados, y en la base de la convocatoria o en el formulario de recogida de datos se informar de esta publicidad, indicando su direccin Internet y la duracin de esa publicidad.

Artculo 11. Comunicacin de datos con fines de investigacin

La comunicacin de datos o su uso interno con fines de investigacin slo se producir si est autorizada en una ley o se ha utilizado un procedimiento de disociacin.

Artculo 12. Acceso a los datos por cuenta de terceros para la prestacin de servicios a la Universidad
1. No se considerar comunicacin de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestacin de un servicio a la Universidad de Castilla-La Mancha. 2. La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato que deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido, establecindose

15

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones de la Universidad de Castilla-La Mancha, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. En el contrato se estipularn, asimismo, las medidas de seguridad que el encargado del tratamiento est obligado a implementar.
3. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos a la Universidad de Castilla-La Mancha, al igual que cualquier soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, ser considerado tambin responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. 5. El tratamiento de datos por parte de la Fundacin General de la Universidad de Castilla-La Mancha cuyo responsable de fichero sea la Universidad de Castilla-La Mancha, se realizar como prestacin de un servicio a sta no estando permitido su utilizacin para ningn otro uso. 6. En el anexo VI se incluye las clusulas relativas a la proteccin de datos a insertar en todos los pliegos de condiciones de contratos de prestacin de servicios a la Universidad.

Artculo 13. La Universidad de Castilla-La Mancha como encargada de tratamiento de datos de otras instituciones
En la manipulacin de datos de otras instituciones tanto dependientes de la universidad (fundaciones y empresas) como ajenas, se aplicar este cdigo de conducta en su tratamiento interno as como las medidas de seguridad acordadas con esa institucin.

Artculo 14. Derecho de acceso.

1. El interesado tendr derecho a solicitar y obtener gratuitamente informacin de sus datos de carcter personal sometidos a tratamiento, el origen de dichos datos, as como las comunicaciones realizadas o que se prevn hacer de los mismos. 2. La informacin podr obtenerse mediante la mera consulta de los datos por medio de su visualizacin, o la indicacin de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o

16

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

no, en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos.
3. El derecho de acceso a que se refiere este artculo slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes.

Artculo 15. Derecho de rectificacin y cancelacin.

1. La Universidad de Castilla-La Mancha har efectivo el derecho de rectificacin o cancelacin del interesado en el plazo de diez das. 2. Sern rectificados o cancelados, en su caso, los datos de carcter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin de stas. Cumplido el citado plazo deber procederse a la supresin. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, la Universidad de Castilla-La Mancha deber notificar la rectificacin o cancelacin efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este ltimo, que deber tambin proceder a la cancelacin. 5. Los datos de carcter personal debern ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la Universidad de Castilla-La Mancha y el interesado.

Artculo 16. Procedimiento de oposicin, acceso, rectificacin o cancelacin.

1. Cualquier peticin de oposicin, acceso, rectificacin o cancelacin sobre datos de carcter personal se realizar mediante un escrito dirigido al Director Acadmico competente en la materia (en adelante, Director Acadmico de Seguridad Informtica) de la Universidad de Castilla-La Mancha a travs del Registro General de la Universidad o por cualquiera de los medios previstos en la Ley de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn adjuntado fotocopia del documento nacional de identidad del interesado u otro documento equivalente que acredite su identidad conforme a Derecho.

17

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo II

2. Los derechos de oposicin, acceso, rectificacin o cancelacin de datos son personalsimos y sern ejercidos nicamente por el interesado. No obstante, el interesado podr actuar a travs del representante legal cuando aquel se encuentre en situacin de incapacidad o minora de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso ser necesario que el representante legal acredite tal condicin. 3. No se exigir contraprestacin alguna por el ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin. 4. Con objeto de facilitar el ejercicio de estos derechos, en el Registro General de la Universidad y sus Registro Auxiliares se tendr a disposicin de los interesados, los formularios de los anexos VII, VIII, IX y X adecuados a esta finalidad. 5. Los padres o tutores no tendrn acceso al expediente acadmico o cualquier otro dato personal de sus hijos salvo en los supuestos indicados en el apartado 2 de este artculo. Esta imposibilidad se extiende a los datos personales de alumnos y titulados fallecidos. 6. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin, podr ponerlo en conocimiento de la Agencia Espaola de Proteccin de Datos.

Artculo 17. Transferencias internacionales de datos

1. No podrn realizarse transferencias temporales ni definitivas de datos de carcter personal con destino a pases que no proporcionen un nivel de proteccin equiparable a la LOPD, salvo que, adems de haberse observado lo dispuesto en sta, se obtenga autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos, que slo podr otorgarla si se obtienen garantas adecuadas. 2. Lo dispuesto en el prrafo anterior no ser de aplicacin si el afectado hubiera dado su consentimiento inequvoco a la transferencia, o la transferencia fuera necesaria para la ejecucin de un servicio o contrato en inters del afectado, o en cualquiera de los restantes supuestos previstos en el artculo 34 de la LOPD. 3. En el anexo IV se incluye la clusula informativa de los formularios donde se recogen los datos de los alumnos que desean participar en programas de intercambio universitario con universidades extranjeras.

18

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

Ttulo III Gestin de los ficheros con datos de carcter personal

Captulo I Disposiciones generales
Artculo 18. Procedimiento de creacin, modificacin o supresin de ficheros.
1. La creacin, modificacin o supresin de ficheros de la Universidad de Castilla-La Mancha corresponde al Rector mediante resolucin publicada en el Diario Oficial de Castilla-La Mancha. Una vez publicada la resolucin se notificar a la Agencia Espaola de Proteccin de Datos para su inscripcin en el Registro General de Proteccin de Datos.

Las disposiciones de creacin o de modificacin de ficheros debern indicar: la finalidad del fichero y los usos previstos para el mismo, las personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos de carcter personal, la estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal incluidos en el mismo, las cesiones de datos de carcter personal y, en su caso, las transferencias de datos que se prevean a pases terceros, la Universidad de Castilla-La Mancha como responsable del fichero, el Rectorado de la Universidad como la unidad donde se puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin y las medidas de seguridad con indicacin del nivel bsico, medio o alto exigible.

19

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

2. Cada fichero tendr un responsable interno nombrado por el Rector mediante resolucin publicada en el Boletn Oficial de la Universidad de Castilla-La Mancha. 3. Cuando una unidad de la Universidad necesite por razones de servicio recabar datos distintos a los mencionados en los ficheros registrados de la Universidad de Castilla-La Mancha, lo solicitar al Director Acadmico de Seguridad Informtica mediante escrito motivado. En caso de reunir todas las condiciones requeridas por la Ley, sus reglamentos de desarrollo y este cdigo de conducta, el Director Acadmico de Seguridad Informtica junto con el Gabinete Jurdico llevar a cabo las actuaciones procedimentales precisas para la modificacin de ficheros y su regularizacin ante los rganos competentes.

Artculo 19. Niveles de seguridad.

1. Las medidas de seguridad segn el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal se clasifican en tres niveles: bsico, medio y alto. 2. Con objeto de aumentar las garantas en el tratamiento de los datos personales las medidas de seguridad que se aplicarn en la Universidad de Castilla-La Mancha, sern exclusivamente las de los dos niveles: medio y alto. 3. Dichos niveles se establecen atendiendo a la naturaleza de la informacin tratada, en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la informacin, de conformidad con el artculo siguiente.

Artculo 20. Aplicacin de los niveles de seguridad.

1. Todos los ficheros que contenga datos de carcter personal debern adoptar las medidas de seguridad calificadas como de nivel medio. 2. Los ficheros que contengan datos de pertenencia a sindicatos o de salud debern reunir, adems de las medidas de nivel medio, las calificadas de nivel alto.

Artculo 21. Responsable de seguridad.

1. Todos los ficheros de la Universidad de Castilla-La Mancha tendrn un responsable de seguridad encargado de coordinar y controlar las medidas de seguridad definidas para cada fichero.

20

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

2. El Director Acadmico de Seguridad Informtica actuar como responsable de seguridad y podr apoyarse en las personas que estime oportuno para la gestin y administracin de la seguridad.

Artculo 22. Ficheros temporales.

1. Los ficheros temporales debern cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente cdigo de conducta. 2. Todo fichero temporal ser borrado una vez que haya dejado de ser necesario para los fines que motivaron su creacin.

Captulo II Medidas de seguridad de nivel medio

Artculo 23. Documento de seguridad.
1. La Universidad de Castilla-La Mancha implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carcter personal y a los sistemas de informacin. 2. El documento deber contener, como mnimo, los siguientes aspectos:

a) mbito de aplicacin del documento con especificacin detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de seguridad exigido en la normativa vigente y en este cdigo de conducta. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan. e) Procedimiento de notificacin, gestin y respuesta ante las incidencias. f) Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos. g) Controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento de seguridad.

21

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

h) Medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado.

3. El documento deber mantenerse en todo momento actualizado y deber ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin o en la organizacin del mismo. 4. El contenido del documento deber adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carcter personal.

Artculo 24. Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carcter personal y a los sistemas de informacin estarn claramente definidas y documentadas. 2. El responsable interno del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Artculo 25. Identificacin y autenticacin.

1. El responsable interno del fichero se encargar de que exista una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y de establecer procedimientos de identificacin y autenticacin para dicho acceso. 2. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad. 3. Las contraseas se cambiarn con la periodicidad que se determine en el documento de seguridad y mientras estn vigentes se almacenarn de forma ininteligible. 4. Se establecer un mecanismo que permita la identificacin de forma inequvoca y personalizada de todo usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 5. Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.

22

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

Artculo 26. Control de acceso.

1. Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 2. Se establecern mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 3. La relacin de usuarios a la que se refiere el artculo 25.1 de este cdigo de conducta contendr el acceso autorizado para cada uno de ellos. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podr conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos en el documento de seguridad.

Artculo 27. Control de acceso fsico.

Exclusivamente el personal autorizado en el documento de seguridad podr tener acceso a los locales donde se encuentren ubicados los sistemas de informacin con datos de carcter personal.

Artculo 28. Rgimen de trabajo fuera de los locales de la ubicacin del fichero.
La ejecucin de tratamiento de datos de carcter personal fuera de los locales de la ubicacin del fichero deber ser autorizada expresamente por el responsable interno del fichero y, en todo caso, deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

Artculo 29. Gestin de soportes.

1. Los soportes informticos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2. La salida de soportes informticos que contengan datos de carcter personal, fuera de los locales en los que est ubicado el fichero, nicamente podr ser autorizada, por el responsable interno del fichero. 3. Deber establecerse un sistema de registro de entrada de soportes informticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada.

23

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

4. Se dispondr de un sistema de registro de salida de soportes informticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamente autorizada. 5. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, previamente a que se proceda a su baja en el inventario. 6. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos.

Artculo 30. Copias de respaldo y recuperacin.

1. El responsable de seguridad se encargar de verificar la definicin y correcta aplicacin de los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos. 2. Los procedimientos establecidos para la realizacin de copias de respaldo y para la recuperacin de los datos debern garantizar su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida o destruccin. 3. Debern realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualizacin de los datos. 4. Deber conservarse una copia de respaldo y de los procedimientos de recuperacin de los datos en un lugar diferente de aqul en que se encuentren los equipos informticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este cdigo de conducta.

Artculo 31. Acceso a datos a travs de redes de comunicaciones.

La transmisin de datos de carcter personal a travs de redes de telecomunicaciones se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros.

24

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

Artculo 32. Pruebas con datos reales.

Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin que traten ficheros con datos de carcter personal no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Artculo 33. Registro de incidencias.

1. El procedimiento de notificacin y gestin de incidencias contendr necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificacin, a quin se le comunica y los efectos que se hubieran derivado de la misma. 2. Se debern consignar en este registro, los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y , en su caso, qu datos han sido necesario grabar manualmente en el proceso de recuperacin. 3. Ser necesaria la autorizacin por escrito del responsable interno del fichero para la ejecucin de los procedimientos de recuperacin de los datos.

Artculo 34. Auditora.

1. Los sistemas de informacin e instalaciones de tratamiento de datos se sometern a una auditora externa anual, que verifique el cumplimiento del presente cdigo de conducta, de los procedimientos e instrucciones vigentes en materia de seguridad de datos. 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles al presente cdigo de conducta y a la reglamentacin vigente relativa a proteccin de datos de carcter personal, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas. 3. Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable interno del fichero y a la Comisin de la Universidad de Castilla-La Mancha competente en la materia para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la Agencia Espaola de Proteccin de Datos.

25

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Ttulo III

Captulo III Medidas de seguridad de nivel alto

Artculo 35. Distribucin de soportes.
La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha informacin no sea inteligible ni manipulada durante su transporte.

Artculo 36. Registro de accesos.

1. De cada acceso se guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de los datos detallados en los prrafos anteriores estarn bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. 4. El perodo mnimo de conservacin de los datos registrados ser de dos aos. 5. El responsable de seguridad competente se encargar de revisar peridicamente la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Disposicin final
Entrada en vigor: El presente cdigo de conducta entrar en vigor en el plazo de tres meses, contado desde su registro en la Agencia Espaola de Proteccin de Datos.

26

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo I

Anexo I
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de Castilla-La Mancha, y pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del acceso a las enseanzas oficiales. Los usos que se dan al fichero son: gestin de pruebas de acceso a la Universidad, servicios de apoyo para el ingreso en la Universidad y obtencin de estadsticas. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.

27

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo II

Anexo II
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin administrativa del alumnado de la Universidad. Los usos que se dan al fichero son los derivados de la gestin administrativa del alumnado: acceso a la universidad, matrcula, becas, biblioteca, secretara virtual, apoyo a la docencia, servicios informticos, archivo, servicio de deporte universitario, expedicin de ttulos y obtencin de estadsticas. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.

28

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo III

Anexo III
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del personal adscrito a la Universidad. Los usos que se dan al fichero son los derivados de la gestin de recursos humanos, procesos de seleccin, nmina, formacin, archivo, biblioteca, servicios informticos; y en el caso de personal docente e investigador los usos derivados de los servicios de apoyo a la docencia y gestin de la actividad investigadora. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.

29

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo IV

Anexo IV
De acuerdo con lo dispuesto en el artculo 5 de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin de los programas de intercambio universitario con universidades extranjeras. Los usos que se dan al fichero son los derivados de la gestin administrativa del programa de intercambio: seleccin del alumnado, ayudas econmicas y obtencin de estadsticas. En el caso de ser seleccionado en el programa de intercambio, los datos personales recogidos sern comunicados a los organismos nacionales e internacionales responsables del programa de intercambio y a la universidad extranjera de destino. Si ha solicitado ayuda econmica y sta es concedida, da su consentimiento a que su nombre, apellidos y direccin sean comunicados a la entidad privada que financia la ayuda econmica para el envo de informacin sobre est. En el caso de no conceder este consentimiento, marque una cruz en la casilla adjunta, y podr participar en el programa de intercambio pero sin la ayuda econmica correspondiente. Le comunicamos que puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad de Castilla-La Mancha, calle Altagracia, nmero 50, 13071 Ciudad Real, adjuntando copia de documento que acredite su identidad. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.

30

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo V

Anexo V
Le informamos de que los datos personales recogidos en este formulario no pasarn a formar parte de ningn fichero de la Universidad de Castilla-La Mancha. Existe a su disposicin una copia gratuita del Cdigo de Conducta de Proteccin de Datos Personales en la Universidad de Castilla-La Mancha o puede obtenerlo en las direcciones de Internet www.uclm.es/psi y www.agpd.es.

31

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VI

Anexo VI
La empresa adjudicataria y el personal encargado de la realizacin de las tareas guardarn secreto profesional sobre todas las informaciones, documentos y asuntos a los que tenga acceso o conocimiento durante la vigencia del contrato, estando obligados a no hacer pblicos o enajenar cuantos datos conozcan como consecuencia o con ocasin de su ejecucin, incluso despus de finalizar el plazo contractual. El resultado de las tareas realizadas, as como el soporte utilizado (papel, fichas, diskettes, etc) sern propiedad de la Universidad de Castilla-La Mancha. La documentacin, se entregar al adjudicatario para el exclusivo fin de la realizacin de las tareas objeto de este contrato, quedando prohibido, para el adjudicatario y para el personal encargado de su realizacin, su reproduccin por cualquier medio y la cesin total o parcial a cualquier persona fsica o jurdica. Lo anterior se extiende asimismo al producto de dichas tareas. Si la empresa adjudicataria aporta equipos informticos, una vez finalizada las tareas el adjudicatario previamente a retirar los equipos informticos, debern borrar toda la informacin utilizada o que se derive de la ejecucin del contrato, mediante formateo del disco duro. La destruccin de la documentacin de apoyo si no se considerara indispensable, se efectuar mediante mquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, realizndose esta operacin en el lugar donde se realicen los trabajos. El/los licitadores aportarn una memoria descriptiva de las medidas que adoptarn para asegurar la confidencialidad e integridad de los datos manejados y de la documentacin facilitada. Asimismo, el/los adjudicatarios debern comunicar a la Universidad de Castilla-La Mancha antes de transcurridos siete das de la fecha de comunicacin de la adjudicacin, la persona o personas que sern directamente responsables de la puesta en prctica y de la inspeccin de dichas medidas de seguridad, adjuntando su perfil profesional.

32

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VI

El/los adjudicatarios se compromete a no dar informacin y datos proporcionados por la Universidad de Castilla-La Mancha para cualquier otro uso no previsto en el presente Pliego. En particular, no proporcionar, sin autorizacin escrita de la Universidad, copia de los documentos o datos a terceras personas. La empresa adjudicataria declara expresamente que conoce quedar obligada al cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y expresamente en lo indicado en su artculos 9 y 10, en cuanto a la seguridad y al deber de secreto. La empresa adjudicataria se compromete explcitamente a formar e informar a su personal en las obligaciones que de tales normas dimanan. Igualmente sern de aplicacin las disposiciones de desarrollo de las normas anteriores que se encuentren en vigor a la adjudicacin de este contrato que puedan estarlo durante su vigencia, y aquellas normas del Reglamente de Medidas de Seguridad, aprobado por Real Decreto 994/1999 de 11 junio. Todos los estudios y documentos elaborados en ejecucin del presente contrato sern de propiedad de la Universidad de Castilla-La Mancha, quien podr reproducirlos, publicarlos y divulgarlos, total o parcialmente, sin que pueda oponerse a ello el/los adjudicatario/s autor de los trabajos. El/los adjudicatarios no podr hacer ningn uso o divulgacin de los estudios y documentos elaborados en base a este pliego de condiciones, bien sea en forma total o parcial, directa o extractada, sin autorizacin expresa de la Universidad de Castilla-La Mancha. Todos los datos manejados por la empresa adjudicataria a causa de la prestacin del servicio, incluyendo los soportes utilizados, (papel, fichas, disquetes,...) sern propiedad de la Universidad de Castilla-La Mancha, sin que la empresa adjudicataria pueda conservar copia o utilizarlos con fin distinto al que figura en el contrato de servicios, estando obligados al cumplimiento de la Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de Datos de Carcter Personal y muy especialmente en lo indicado en su artculo 12.

33

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VII

Anexo VII
Ejercicio del derecho de acceso
Peticin de informacin sobre los datos personales incluidos ficheros.

Datos del solicitante:

D./D ..................................................................................................., mayor de edad, con domicilio en la C/ ....................................................................................... n ..........., Localidad ........................................................., Provincia ........................ ............. Cdigo Postal ................. con D.N.I. ..............................., del que se acompaa fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, de conformidad con el artculo 15 de la Ley Orgnica 15/1999, y los artculos 12 y 13 del Real Decreto 1332/94.

Solicita:
1. Que se le facilite gratuitamente el acceso a sus ficheros en el plazo mximo de un mes a contar desde la recepcin de esta solicitud. 2. Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la informacin a la direccin arriba indicada en el plazo de diez das desde la resolucin estimatoria de la solicitud de acceso. 3. Que esta informacin comprenda de modo legible e inteligible los datos que sobre mi persona estn incluidos en sus ficheros, y los resultantes de cualquier elaboracin, proceso o tratamiento, as como el origen de los datos, los cesionarios y la especificacin de los usos concretos y finalidades para los que se almacenaron. En ............................................... a ......... de ............................... de 200...

Sr. Director Acadmico de Seguridad Informtica

34

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VIII

Anexo VIII
Ejercicio del derecho de rectificacin
Peticin de correcin de datos personales inexactos o incorrectos objeto de tratamiento incluidos en ficheros.

Datos del solicitante:

D./D..................................................................................................,mayor de edad, con domicilio en la C/ ....................................................................................... n ..........., Localidad ........................................................., Provincia ....................... .............. Cdigo Postal ................. con D.N.I. ..............................., del que se acompaa fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificacin, de conformidad con el artculo 16 de la Ley Orgnica 15/1999, y los artculos 12 y 13 del Real Decreto 1332/94.

Solicita:
1. Que se proceda gratuitamente a la efectiva correccin en el plazo de diez das desde la recepcin de esta solicitud, de los datos inexactos relativos a mi persona que se encuentren en sus ficheros. 2. Los datos que hay rectificar se enumeran en la hoja adjunta, haciendo referencia a los documentos que se acompaan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos. 3. Que me comuniquen de forma escrita a la direccin arriba indicada, la rectificacin de los datos una vez realizada. 4. Que, en el caso de que el responsable del fichero considere que la rectificacin o la cancelacin no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das sealado. En ............................................... a ......... de ............................... de 200...

Sr. Director Acadmico de Seguridad Informtica

35

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo VIII

Datos que deben rectificarse

Dato Incorrecto 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Dato Correcto

Documento Acreditativo

36

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo IX

Anexo IX
Ejercicio del derecho de cancelacin
Peticin de supresin de datos personales objeto de tratamiento incluidos en ficheros.

Datos del solicitante:

D./D ..................................................................................................., mayor de edad, con domicilio en la C/ ....................................................................................... n ..........., Localidad ........................................................., Provincia ....................... .............. Cdigo Postal ................. con D.N.I. ..............................., del que se acompaa fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de cancelacin, de conformidad con el artculo 16 de la Ley Orgnica 15/1999, y los artculos 15 y 16 del Real Decreto 1332/94.

Solicita:
1. Que se proceda al bloqueo de los datos en el plazo de diez das desde la recepcin de esta solicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al no existir vinculacin jurdica o disposicin legal que justifique su mantenimiento. 2. Una vez transcurrido el plazo de prescripcin de las posibles responsabilidades nacidas del tratamiento de los datos, que se proceda a la supresin de los mismos y se me comunique de forma escrita a la direccin arriba indicada su cancelacin efectiva. 3. Que, en el caso de que el responsable del fichero considere que dicha cancelacin no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das indicados. En .................................................. a ......... de ............................... de 200...

Sr. Director Acadmico de Seguridad Informtica

37

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo X

Anexo X
Ejercicio del derecho de oposicin
Peticin de exclusin del tratamiento de los datos incluidos en un fichero, cuando existen motivos fundados y legtimos.

Datos del solicitante:

D./D ..................................................................................................., mayor de edad, con domicilio en la C/ ....................................................................................... n ..........., Localidad ........................................................., Provincia ....................... .............. Cdigo Postal ................. con D.N.I. ..............................., del que se acompaa fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de oposicin, de conformidad con el artculo 6, apartado 4 de la Ley Orgnica 15/1999.

Solicita:
1. Que se proceda a excluir en el plazo de diez das desde la recepcin de esta solicitud, los datos relativos a mi persona que se encuentren en sus ficheros, por existir motivos fundados y legtimos relativos a una concreta situacin personal. 2. Los datos que hay que excluir se enumeran en la hoja adjunta, haciendo referencia a los documentos que se acompaan a esta solicitud y que acreditan, en caso de ser necesario, la justificacin de esta peticin. 3. Que me comuniquen de forma escrita a la direccin arriba indicada, la exclusin de los datos una vez realizada. 4. Que, en el caso de que el responsable del fichero considere que la oposicin al tratamiento de esos datos no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das indicado. En .................................................. a ......... de ............................... de 200...

Sr. Director Acadmico de Seguridad Informtica

38

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha Anexo X

Datos a oponer

Dato a oponer 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Documento Acreditativo

39