Transcript Formación LOPD Audedatos-Universidad de Almería

PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL
FORMACIÓN A USUARIOS DEL SISTEMA DE INFORMACIÓN DE
LA UNIVERSIDAD DE ALMERÍA
Almería, 17 de Noviembre de 2010
CONTENIDO-OBJETIVOS
I.- ¿Qué es la protección de datos de carácter
personal ?
II.- Marco normativo
III.- Conceptos básicos
IV.- Conceptos básicos. Dato de carácter personal.
V.-Obligaciones de la Universidad de Almería en
cumplimiento de la LOPD y RDLOPD.
VI. Ejercicio de derechos ARCO
I.-INTRODUCCIÓN. PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL
En la vida cotidiana es habitual que la persona vaya dejando una
estela de
datos de carácter personal en sus relaciones, de forma presencial o a distancia,
con empresas, profesionales, asociaciones, fundaciones … y con la Administración
Pública.
Una persona facilita datos personales cuando abre una
cuenta en el banco,
cuando se matricula en un curso, cuando reserva un hotel o un vuelo, cuando
busca trabajo, cuando presenta una instancia en la Administración Pública,
cuando solicita un abono de transporte … siendo múltiples los rastros de datos que
se dejan a menudo en todas estas gestiones.
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
El Tribunal Constitucional, el Tribunal Europeo de Derechos
Humanos y el Tribunal de Justicia de la Comunidad Europea han
configurado el derecho constitucional o fundamental a la
protección de datos de carácter personal, como un derecho
específico, diferente a la intimidad. Su objeto es más amplio y
alcanza a todos los datos personales, sean estos tratados por
entidades públicas o privadas.
La STC 292/2000 -fundamento jurídico séptimo-:
<<… El derecho fundamental a la protección de datos,
consiste en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de estos
datos proporcionar a un tercero, sea el estado o un particular, o
cuáles puede este tercero recabar, permitiendo también al
individuo saber quién posee esos datos personales y para qué,
pudiendo oponerse a esta posesión o uso …>>.
DISTINCIÓN DE CONCEPTOS: DERECHO A LA INTIMIDAD-PROTECCIÓN DE
DATOS
OBJETIVO COMÚN: proteger la vida privada
DIFERENCIAS:
A) ÁMBITO: La intimidad es más reducida que la vida privada.
INTIMIDAD
PROTECCIÓN DE DATOS
Protege frente a invasiones en
su vida privada o familiar.
Garantiza a la persona un
poder de control sobre sus
datos personales, sobre su uso
y destino, para impedir un
tráfico ilícito y lesivo para la
dignidad y derecho del afectado
(ES REACTIVO)
(ES PROACTIVO)
Datos íntimos de la persona
Cualesquiera datos
personales, aunque no sean
íntimos, y aunque sean –
incluso - públicos .
DISTINCIÓN DE CONCEPTOS: DERECHO A LA INTIMIDAD-PROTECCIÓN DE DATOS
B) CONTENIDO: La protección de datos impone obligaciones adicionales e instrumentos para que
sea efectivo. La intimidad No
INTIMIDAD
PROTECCIÓN DE DATOS
No
Derecho a que se requiera el
consentimiento para la recogida y
uso de los datos
No
Derecho a ser informado y saber el
uso y destino de los datos
No
Derecho a acceder, rectificar,
cancelar y oponerse al tratamiento
de sus datos
No
EN DEFINITIVA: PODER DE
DISPOSICIÓN SOBRE SUS
DATOS
II.- MARCO NORMATIVO.

Artículo 18.4 de la Constitución Española.

Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de
julio de 1995, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal [LOPD].

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba
el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal [RDLOPD

Ley 34/2002, de 11 de julio, de servicios de sociedad de la
información y de comercio electrónico.
II.- MARCO NORMATIVO BÁSICO.
-
Anteproyecto Ley de documentos, archivo y patrimonio documental de
Andalucía.
-
Decreto 914/1969 Sistema de Archivos de la Administración.
–
Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español
–
Real Decreto 1164/2002, de 8 de noviembre, por el que se regula la
conservación del patrimonio documental con valor histórico, el control de la
eliminación de otros documentos de la Administración General del Estado y
sus organismos públicos y la conservación de documentos administrativos en
soporte distinto al original.
ÁMBITO DE APLICACIÓN DE LA NORMATIVA
No: Datos de personas jurídicas
(sociedades mercantiles,
asociaciones, fundaciones,
cooperativas …)
Sí : Datos de personas físicas o
naturales tratados a nivel …
No Automatizado
Automatizado
(Informático)
(Papel o manual)
III.- CONCEPTOS BÁSICOS: ¿QUIÉN ES QUIÉN?.
•
Afectado o interesado: Persona física titular de los datos que sean objeto
de tratamiento = ESTUDIANTES, EMPLEADOS,PROVEEDORES, etc.
•
Responsable del fichero o tratamiento: Persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que sólo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase materialmente. Podrán ser también
responsables del fichero o del tratamiento los entes sin personalidad
jurídica que actúen en el tráfico como sujetos diferenciados:
UNIVERSIDAD DE ALMERÍA
•
Usuario: sujeto autorizado para acceder a datos o recursos (cualquier
parte componente de un sistema de información )
•
Responsable de Seguridad: persona o personas a las que el Responsable
del Fichero ha asignado, formalmente, la función de coordinar y
controlar las medidas de seguridad aplicables.
DATO DE CARÁCTER PERSONAL
TIPO DE INFORMACIÓN
NUMÉRICA:
EJ:
Matrícula
vehículo, DNI.
ALFABÉTICA:
EJ: Nombre y
Apellidos.
FOTOGRÁFICA:
EJ: Imágenes captadas
por cámaras o vídeo,
cámaras de video
vigilancia.
ACÚSTICA:
EJ: Voz
humana.
CONCERNIENTE A
PERSONA FÍSICA O
NATURAL
CARACTERÍSTICAS
-Físicas
-Psíquicas
-Fisiológicas
-Económicas
-Culturales
-Sociales
SUSCEPTIBLE DE TRATAMIENTO
Automatizado
SOPORTE
FÍSICO
No Automatizado
TRATAMIENTO
Operaciones y procedimientos:
-Recogida
-Grabación
-Conservación
-Elaboración
QUE PERMITAN DIRECTA O -Modificación
-Bloqueo
INDIRECTAMENTE
IDENTIFICAR A LA PERSONA. -Cancelación
Así como las cesiones de datos que resulten
SIN EMPLEAR MEDIOS O de :
-Comunicaciones
PLAZOS
-Consultas
DESPROPORCIONADOS
-Interconexiones
-Transferencias
RESPONSABLES DE SEGURIDAD UNIVERSIDAD DE
ALMERÍA
• - ÁNGELES PIEDRA (DEPARTAMENTO JURÍDICO)
• - DIEGO PÉREZ (STIC)
• -ALICIA GARCÍA (ARCHIVO Y DOCUMENTACIÓN)
IV. OBLIGACIONES DE LA UNIVERSIDAD DE ALMERÍA EN
CUMPLIMIENTO DE LA LOPD Y RDLOPD.
a.- Notificación e inscripción de ficheros en el Registro General de
protección de Datos (RGPD).
e.- Cumplimiento del deber de información del interesado y, en su caso,
la obtención del consentimiento para el tratamiento de su información
de carácter personal.
i.- Formalización de contratos de acceso a datos por cuenta de terceros
y contratos de prestación de servicios sin acceso a datos por terceros.
o.- Elaboración del Documento de seguridad e implantación de
medidas de seguridad de carácter técnico y organizativo en el sistema
de información.
u.- Formación del personal: usuarios y responsables de seguridad.
A).- Notificación e inscripción de ficheros.
Concepto:
Es obligación del Responsable del Fichero [UNIVERSIDAD DE ALMERÍA], notificar e
inscribir los ficheros [automatizados y/o no automatizados] creados para el tratamiento de
datos de carácter personal ante el REGISTRO GENERAL DE PROTECCIÓN DE DATOS, así como
comunicar las
modificaciones o cancelaciones, respecto a los mismos.
Efectos de la Notificación e Inscripción:

La inscripción de ficheros es relevante, puesto que con esto se cumple con la
obligación primordial. Pero, no con esto sólo, se está en cumplimiento de la
normativa (artículo 60.3 RDLOPD).

Es la única información en relación a la protección de datos, de la cual tendrá
constancia la Agencia Española de Protección de Datos

De este modo, el interesado o afectado podrá satisfacer el DERECHO DE
CONSULTA del Registro General de Protección de Datos, de carácter público y
gratuito, a fin de saber información relativa al fichero donde estén siendo
tratados sus datos personales (artículo 14 LOPD). Facilita al ciudadano el
ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación u
Oposición).
A).- Notificación e inscripción de ficheros.
Ficheros lógicos concebidos en el proyecto de revisión.
- Fichero ARCHIVO GENERAL
- Fichero TÍTULOS OFICIALES
- Fichero SERVICIO DE CERTIFICACIÓN ELECTRÓNICA
- Fichero CLAUSTRO UNIVERSITARIO
- Fichero CONSEJO DE GOBIERNO
- Fichero CONVENIOS
- Fichero DEFENSOR UNIVERSITARIO
- Fichero ORDENACIÓN Y PLANIFICACIÓN ACADÉMICA
- Fichero SPOA. SERVICIO DE PLANIFICACIÓN Y ORGANIZACIÓN ADMINISTRATIVA
- Fichero ACCESO Y ADMISIONES ESTUDIANTES
- Fichero EDITORIAL UNIVERSITARIA
- Fichero GABINETE JURÍDICO
- Fichero GESTIÓN DE RECURSOS HUMANOS
- Fichero CONTRATACIÓN
- Fichero CONTROL DE ACCESOS
- Fichero SERVICIO DE PREVENCIÓN
- Fichero BIBLIOTECA
- Fichero RELACIONES INTERNACIONALES
- Fichero EXTENSIÓN UNIVERSITARIA
- Fichero BECAS Y AYUDAS
…..
CREACIÓN O ALTA DE NUEVOS FICHEROS
Deberá considerar el alta de nuevos ficheros, cuando se halle en supuestos donde el tratamiento
de datos personales, no puede integrarse en aquellos notificados e inscritos en la Agencia
Española de Protección de Datos [AEPD].
MODIFICACIÓN DE FICHEROS
No ha de entenderse cuando se suscite un cambio en los datos personales de un individuo [esto
es, introduzcamos, modifiquemos o eliminemos información de carácter personal de una/s
persona/s]
Las modificaciones comprenden cambios en uno o varios aspectos del fichero notificado:

Dirección del Responsable de Fichero

Finalidad y uso de los datos

Tipología de datos objeto de tratamiento

Nivel de Seguridad

Origen y procedencia de los datos

Cesiones o comunicaciones de datos
CANCELACIÓN DE FICHEROS
La cancelación de ficheros no es muy habitual, salvo supuestos excepcionales, ejemplos:

Cuando los datos personales tratados en un fichero, dejan de ser útiles y pertinentes.

Cuando se disuelva la sociedad
En todo caso, si hubiera una obligación legal que obligue a la conservación de los datos durante
un período de tiempo, se deberá ‘BLOQUEAR’ este fichero, con las medidas de seguridad
pertinentes.
E).- El deber de información y/o consentimiento en la recogida de
datos.
¿Qué es?
Realmente, nace de un derecho del interesado, por el cual debe ser
informado sobre dónde irán los datos aportados, para qué serán
utilizados, a quienes se cederán … [autodeterminación informativa].
Esto se convierte en una obligación o deber para el Responsable del
Fichero. Así, en cualesquiera recogida de datos efectuada,
mediante formularios o cuestionarios, en papel y/o electrónicos, debiera
proporcionarse al interesado la información preceptiva = CLAUSULAS.
¿De qué debe informarse?
De la existencia de un fichero o tratamiento de datos de carácter personal, de la
de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
finalidad
sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del Responsable del Tratamiento.
Praxis cumplimiento del deber de información.
Artículo 5.2 LOPD << >>
Cuando se utilicen cuestionarios u otros impresos para la
recogida, figurarán en los mismos, en forma claramente legible,
las advertencias antes mencionadas
Se han redactado cláusulas informativas a introducir con el fin
de cumplir con este derecho, en diferentes documentos:
MATRICULACIONES
 VIDEO VIGILANCIA
CLÁUSULA CURRICULUMS
CLÁUSULA E MAIL
CLÁUSULA EMPLEADOS
…..
Recabar el consentimiento del interesado para tratar determinados datos: En
cuanto se hayan de recoger y tratar datos sensibles (ejemplo, salud, religión,
ideología) se ha de recabar el consentimiento expreso del interesado. Para esto, el
formulario o cuestionario, además de ser informado al respecto (“autoriza
expresamente”), deberá ser firmado. En los electrónicos (Web) sólo será válido si
firma electrónicamente con certificado digital reconocido.
Cesiones o comunicaciones de datos: Cerciorarse de que las cesiones o
comunicaciones de datos a terceros, están consentidas por el interesado y/o existe
una habilitación legal.
I).- Formalización de contratos de acceso a datos y prohibición
de acceso
A).- CON ACCESO A DATOS.- Si como consecuencia de la prestación de un servicio
un tercero accede a los datos titularidad del Responsable del Fichero o
Tratamiento deberá suscribirse un contrato de acceso a datos por cuenta de
terceros entre el Responsable del Fichero o del Tratamiento y el tercero
prestador del servicio (Encargado del Tratamiento).
B).- SERVICIOS SIN ACCESO A DATOS.- LA UNIVERSIDAD DE ALMERIA adoptará
las medidas adecuadas para limitar el acceso del personal a datos personales, a
los soportes que los contengan o a los recursos del sistema de información, para la
realización de trabajos que no impliquen el tratamiento de datos personales.
a).- Prestaciones de servicios con acceso a datos.
A) CON ACCESO A DATOS.- Si como consecuencia de la prestación de un servicio un tercero
accede a los datos titularidad del Responsable del Fichero o Tratamiento deberá suscribirse un
contrato de acceso a datos por cuenta de terceros entre el Responsable del Fichero o del
Tratamiento y el tercero prestador del servicio (Encargado del Tratamiento).
ENCARGADO DE TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento y accede a los datos de carácter personal del responsable del
tratamiento.
Ejemplos:
•Asesorías y/o gestoría laborales / contables / fiscales.
•Empresas de mantenimiento informático software y/o hardware
Firmar = CONTRATO DE ACCESO A DATOS POR TERCEROS. (Artículo 12 LOPD)
a).- Prestaciones de servicios con acceso a datos.
a) Firma del Contrato
En estos supuestos, la normativa obliga a que se firme un contrato entre
el Responsable de Fichero o Tratamiento y el Encargado de Tratamiento
[Tercero, prestador del servicio].
No obstante, para la formalización, puede optarse por las siguientes
alternativas:

Contrato ad hoc, de acceso a datos por terceros.

Inclusión de una cláusula o estipulación en el contrato de
prestación de servicios, que recoja los extremos preceptivos.

O se incluya en un anexo [adenda] al citado contrato de
prestación de servicios.
a).- Prestaciones de servicios con acceso a datos.
b) Contenido mínimo del Contrato (art 12 LOPD).
Sujeción al Responsable de Fichero = Se deberá establecer “que el encargado del tratamiento
únicamente tratará los datos conforme a las instrucciones del Responsable
Finalidad y Uso del acceso o tratamiento = También se hará constar “que (el encargado) no los
aplicará o utilizará con un fin distinto al que figure en dicho contrato”.
Cesión o comunicación de datos = Asimismo hay que hacer constar que el encargado “no los
comunicará, ni siquiera para su conservación, a otras personas”.
Adopción de medidas de seguridad = De igual forma el precepto obliga a que “en el contrato se
estipulen las medidas de seguridad exigidas por esta normativa que el encargado del
tratamiento está obligado a implementar”.
Deber de devolución y/o destrucción = “una vez cumplida la prestación contractual, los datos
de Carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual
que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento”.
Responsabilidad = “En el caso de que el encargado del tratamiento destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será
considerado también responsable del tratamiento, respondiendo de las infracciones en que
hubiera incurrido personalmente”.
b).- Prestaciones de servicios sin acceso a datos.
El Responsable del Fichero adoptará las medidas adecuadas para limitar el
acceso del personal a datos personales, a los soportes que los contengan o a los
recursos del sistema de información, para la realización de trabajos que no
impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá
expresamente la prohibición de acceder a los datos personales y la obligación de
secreto respecto a los datos que el personal hubiera podido conocer con motivo
de la prestación del servicio.
Ejemplos
 EMPRESA DE LIMPIEZA.
 EMPRESA DE MANTENIMIENTO INSTALACIONES
O).- Elaboración Documento de Seguridad. Adopción de
medidas técnicas y organizativas.
La normativa recoge el principio de seguridad de los datos en los
siguientes términos:

El Responsable del Fichero, y, en su caso, el Encargado del
Tratamiento, deberán adoptar las medidas de índole técnica y
organizativas necesarias, que garanticen la seguridad de los datos
de carácter personal y eviten su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o
natural.

No se registrarán datos de carácter personal en ficheros que no
reúnan las condiciones que se determinen por vía reglamentaria con
respecto a su integridad y seguridad y a las de los centros de
tratamiento, locales, equipos, sistemas y programas.
Las medidas se recogerán en el denominado Documento de
Seguridad, cuyo contenido mínimo se prevé en el Real Decreto
1720/2007 [RDLOPD].
U).- Formación. Funciones y obligaciones del personal
Principal obligación
GUARDAR el necesario SECRETO respecto a cualquier tipo de
información de carácter personal conocida en función del
trabajo desarrollado, incluso una vez concluida la relación
laboral con la Universidad.
FICHEROS INFORMÁTICOS
En particular, respecto a la información de carácter personal
contenida en ficheros informáticos, deberá cumplir, en
consonancia con lo expuesto en anteriores apartados, las
siguientes diligencias:
Claves de acceso al sistema informático.- Las contraseñas de
acceso al sistema informático son personales e intransferibles,
siendo el Usuario el único responsable de las consecuencias que
pudieran derivarse de su mal uso, divulgación o pérdida. Queda
prohibido, asimismo, emplear identificadores y contraseñas de
otros Usuarios para acceder al sistema informático. En caso de
que fuera necesario acceder al sistema, en ausencia de un
compañero, se solicitará al área de informática para que se
habilite el acceso eventual. Una vez finalizada la/s tarea/s que
motivaron el acceso, deberá ser comunicado, de nuevo, al
Responsable de Informática.
 Bloqueo o apagado del equipo informático.- Bloquear la sesión
del Usuario en el supuesto de ausentarse temporalmente de su
puesto de trabajo, a fin de evitar accesos de otras personas al
equipo informático. Esto, sobre todo, deberá tenerse en cuenta,
por parte del personal que esté en atención al público.
 Almacenamiento de archivos o ficheros en la red
informática.- Guardar todos los ficheros de carácter
personal empleados por el Usuario, en el espacio de la red
informática habilitado por la Universidad, a fin de facilitar la
realización de las copias de seguridad o respaldo y
proteger el acceso frente a personas no autorizadas.
 Manipulación de los archivos o ficheros informáticos.Únicamente las personas autorizadas, podrán introducir,
modificar o anular los datos personales contenidos en los
ficheros. Los permisos de acceso de los Usuarios a los
diferentes ficheros serán concedidos por el Responsable. En
el caso de que cualquier Usuario requiera, para el desarrollo
de su trabajo, acceder a ficheros a cuyo acceso no está
autorizado, deberá ponerlo en conocimiento del citado
Responsable.
 Generación de ficheros de carácter temporal.- Ficheros de
carácter temporal son aquellos en los que se almacenan
datos de carácter personal, generados a partir de un
fichero general para el desarrollo o cumplimiento de una
tarea/s determinada/s. Estos ficheros deben ser borrados
una vez hayan dejado de ser necesarios para los fines que
motivaron su creación, y mientras estén vigentes, deberán
ser almacenados en la carpeta habilitada en la red
informática. Si transcurrido un mes el Usuario detecta la
necesidad de continuar utilizando la información
almacenada en el fichero, deberá comunicárselo al
Responsable de Informática, para adoptar las medidas
oportunas sobre el mismo.
 No uso del correo electrónico u otros medios telemáticos para
envíos de información de carácter personal sensible.- No utilizar
el correo electrónico (corporativo o no) para el envío de
información de carácter personal especialmente sensible (esto es,
salud, ideología, religión, creencias, origen racial o étnico). Este
envío únicamente podrá realizarse si se adoptan los mecanismos
necesarios para evitar que la información no sea inteligible ni
manipulada por terceros.
 Comunicación de incidencias que afecten a la seguridad de
datos de carácter personal.- Comunicar al Responsable de
Seguridad las incidencias de las que tenga conocimiento, que
puedan afectar a la seguridad de los datos personales.
FICHEROS EN PAPEL
En relación con los ficheros en soporte o documento papel,
el Usuario deberá cumplir con las siguientes diligencias:
 Custodia de llaves de acceso a archivadores o
dependencias.- Mantener debidamente custodiadas las llaves
de acceso a los locales o dependencias, despachos, así como
a los armarios, archivadores u otros elementos que contenga
soportes o documentos en papel con datos de carácter
personal.
 Cierre de despachos o dependencias.- En caso de disponer de
un despacho, cerrar con llave la puerta, al término de la
jornada laboral o cuando deba ausentarse temporalmente de
esta ubicación, a fin de evitar accesos no autorizados.
 Almacenamiento de soportes o documentos en papel.Guardar todos los soportes o documentos que contengan
información de carácter personal en un lugar seguro, cuando
éstos no sean usados, particularmente, fuera de la jornada
laboral. Cuando estos soportes o documentos, no se
encuentren almacenados, por estar siendo revisados o
tramitados, será la persona que se encuentre a su cargo la que
deba custodiar e impedir, en todo momento, que un tercero
no autorizado pueda tener acceso.
 Archivo de soportes o documentos.- Los soportes o
documentos en papel deberán ser almacenados siguiendo
el criterio de archivo de la Universidad. Dichos criterios
deberán garantizar la correcta conservación de los
documentos, la localización y consulta de la información.


Los soportes o documentos se archivarán en el lugar
correspondiente, de modo que permitan una buena
conservación, clasificación, acceso y uso de los mismos.
 Traslado de soportes o documentos en papel con datos de
carácter personal.- En los procesos de traslado de soportes
o documentos deberán adoptarse medidas dirigidas para
impedir el acceso o manipulación por terceros y, de
manera que, no pueda verse el contenido, sobre todo, si
hubieren datos de carácter personal.
 Traslado de dependencias.- En caso de cambiar de
dependencia, en el proceso de traslado de los soportes o
documentos en papel, se deberá realizar con el debido
orden. Asimismo, se procurará mantener fuera del alcance
de la vista de cualquier persona de la Universidad , aquellos
documentos o soportes en papel donde consten datos de
carácter personal.
 No dejar en fotocopiadoras, faxes o impresoras papeles con datos
de carácter personal.- Asegurarse de que no quedan documentos
impresos que contengan datos personales, en la bandeja de salida
de la fotocopiadora, impresora o faxes.
 Documentos no visibles en los escritorios, mostradores u otro
mobiliario.- Se deberá mantener la confidencialidad de los datos
personales que consten en los documentos depositados o
almacenados en los escritorios, mostradores u otro mobiliario.

 Desechado y destrucción de soportes o documentos en papel con
datos personales.- No tirar soportes o documentos en papel, donde
se contengan datos personales, a papeleras o contenedores, de
modo que pueda ser legible o fácilmente recuperable la
información. A estos efectos, deberá ser siempre desechada o
destruida mediante destructora de papel.
Se prohíbe terminantemente echar en papeleras, contenedores
de cartón o papel, soportes o documentos, donde se contengan
datos personales.
“Siempre que vaya a desecharse cualquier documento o soporte que contenga datos
de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información contenida en el
mismo o su recuperación posterior.”
PUEDEN ESTAR DESPUÉS AL ALCANCE DE OTROS …
NO TIREMOS SOPORTES O DOCUMENTOS CON DATOS PERSONALES A LOS
CONTENEDORES O ESPACIOS ...
 Envío de datos personales sensibles en sobre
cerrado.- Si se envían a terceros ajenos a la
Universidad , datos especialmente sensibles (esto
es, salud, ideología, religión, creencias, origen
racial o étnico) contenidos en soporte o
documento papel, se debe realizar, en sobre
cerrado y, en cualquier caso, tener presente que
haya de efectuarse por medio de correo
certificado o a través de una forma de correo
ordinario
que
permita
su
completa
confidencialidad.
 Comunicación de incidencias que afecten a la
seguridad de datos de carácter personal.Comunicar las incidencias de las que tenga
conocimiento y que puedan afectar a la
seguridad de los datos personales.
COMUNICACIÓN DE INCIDENCIAS
Ficheros informáticos
•
•
•
•
•
•
•
Pérdida [NO OLVIDO] de contraseñas de acceso a los sistemas de información.
Uso indebido de contraseñas.
Pérdida de soportes informáticos con datos de carácter personal.
Pérdida de datos por mal uso de las aplicaciones.
Ataques a la red.
Infección de los sistemas de información por virus u otros elementos dañinos.
Fallo o caída de los Sistemas de Información, etc.
Ficheros en papel,
•
•
•
•
Pérdida de las llaves de acceso a los archivos, armarios y/o dependencias,
donde se almacena la información de carácter personal.
Acceso no autorizado de usuarios a los archivos, armarios y/o dependencias,
donde se encuentran ficheros con datos de carácter personal.
Pérdida de soportes o documentos en papel, con datos de carácter personal.
Deterioro de los soportes o documentos, armarios o archivos, donde se
encuentran datos de carácter personal.
VII. EJERCICIO DE DERECHOS ARCO POR LOS INTERESADOS.
A).-Praxis solicitud o petición ejercicios derechos ARCO.
Aspectos comunes
Los derechos ARCO tienen carácter personalísimo.
Deben ser ejercidos por:
 El propio interesado.
 Por el representante legal, cuando el interesado sea un menor
de edad (a estos efectos, menor de 14 años) o el titular se
encuentre en situación de incapacidad.
A través de un representante voluntario,
designado para el ejercicio del derecho.
expresamente
Los Derechos ARCO son derechos independientes. No puede
entenderse que el ejercicio de uno de ellos sea requisito previo
para el ejercicio de otro (artículo 24 RDLOPD).
VII. EJERCICIO DE DERECHOS ARCO POR LOS INTERESADOS.
B).-Derecho de acceso
Quiero saber qué
datos míos tiene la
Universidad…
PLAZO
¿A QUE INFORMACIÓN TIENE DERECHO A ACCEDER EL
AFECTADO?:
•DATOS DEL AFECTADO;
•ORIGEN DE LOS DATOS;
•COMUNICACIONES REALIZADAS O QUE SE PRETENDEN
REALIZAR, IDENTIFICANDO A LOS CESIONARIOS;
•USOS CONCRETOS Y FINALIDADES.
La Universidad de Almería DEBERÁ ATENDER LA SOLICITUD:
•MÁXIMO PLAZO DE 1 MES DESDE LA RECEPCIÓN DE LA SOLICITUD.
•EN CASO DE ESTIMARSE PROCEDENTE, PERMITIR EL ACCESO, 10 DÍAS
HÁBILES.
ATENCIÓN
Obligatoriedad: El Responsable del fichero está obligado a responder
incluso cuando no trate datos personales de quien ejercite el derecho.
C).-Derecho de rectificación
¿
¡Quiero modificar
mis datos!
CUÁNDO PROCEDE EJERCER ESTE DERECHO?
CUANDO LOS DATOS SEAN INEXACTOS, INCOMPLETOS,
INADECUADOS O EXCESIVOS
Ejemplo: “Me llamo Ester, y en el carnet universitario de
la Universidad, mi nombre no figura bien escrito”.
PLAZO
ATENCIÓN
La Universidad DISPONE DE UN MÁXIMO DE 10 DÍAS HÁBILES
DESDE LA RECEPCIÓN DE LA SOLICITUD.
Cesión previa de los datos
La Universidad deberá comunicar al cesionario, en el plazo de 10 días
hábiles, la rectificación llevada a cabo para que éste, a su vez, realice
la rectificación pertinente.
D).-Derecho de cancelación
¡Quiero que no
traten mis
datos!
¿CUÁNDO PROCEDE EJERCER ESTE DERECHO?
CUANDO EXISTA LA VOLUNTAD POR PARTE DEL
INTERESADO , DE QUE NO SE TRATEN SUS DATOS.
PLAZO
ATENCIÓN
EXCEPCIONES
ATENCIÓN
La UNIVERSIDAD DISPONE DE UN
MÁXIMO DE 10 DÍAS HÁBILES DESDE
LA RECEPCIÓN DE LA SOLICITUD.
Cesión previa de los datos
El Pilar deberá comunicar al cesionario, en el plazo de 10 días hábiles,
la cancelación llevada a cabo para que éste, a su vez, realice la
cancelación pertinente.
-Cuando exista una obligación de conservar los datos.
-Cuando la cancelación no sea posible por razones técnicas.
La cancelación de datos no siempre supone la eliminación de los
mismos. En muchos casos supondrá su BLOQUEO.
E).-Derecho de oposición.
¿CUÁNDO PROCEDE EJERCER ESTE DERECHO?
¡NO quiero que
me envíen
publicidad!
1-Cuando se trate de ficheros que tengan por finalidad la
realización de actividades de publicidad y prospección
comercial
2-Cuando no sea necesario su consentimiento para el
tratamiento, como consecuencia de la concurrencia de un
motivo legítimo y fundado, referido a su concreta situación
personal, que lo justifique siempre que una Ley no
disponga lo contrario.
PLAZO
LA UNIVERSIDAD DISPONE DE UN MÁXIMO DE 10 DÍAS HÁBILES
DESDE LA RECEPCIÓN DE LA SOLICITUD.
F).-Cómo se debe presentar la solicitud
MODELO DE PETICIÓN DE EJERCICIO DEL DERECHO O SU PROPIO ESCRITO.
- ¿QUÉ DEBEMOS CONTROLAR?:
 Cuando se solicita el acceso, rectificación o cancelación de los
datos de carácter personal, siempre ha de acompañar a este
escrito la fotocopia del DNI/NIE u documento equivalente.
 Y si actúan bajo Representante (Legal o voluntario) que aporte,
además de la fotocopia del DNI/NIE, documento/s que
acrediten la condición.
 Dirección a afectos de notificaciones, fecha y firma.
 Petición concreta de la solicitud.
 Documentos que justifiquen, prueben la petición, si es el caso.
G).-Máxima diligencia: prioridad de atención y resolución.
Por teléfono nunca facilitaremos datos personales.
cumplimiento de la Ley de Protección de Datos invitaremos
siempre a qué presenten la solicitud por escrito.
En
El escrito puede ser propio (el que aporte el interesado) o utilizar el
modelo de escrito de petición del ejercicio de derecho que
corresponda.
Se ha de enviar a uno de los tres responsables de seguridad: de forma
diligente. Señalando la importancia del tema.
Los responsables de seguridad no descuidarse en remitir la obligatoria
contestación al afectado dentro de los plazos legales previstos.
EL TIEMPO ES IMPORTANTE, NO PUEDEN PASARSE LOS PLAZOS LEGALES PARA
RESPONDER.
RESUMEN DE LAS TAREAS PRINCIPALES
- Notificar a los Responsables de Seguridad (Informática y/o Papel) la
creación, modificación o supresión de ficheros. .
- Supervisar que los procesos de recogida de datos de carácter
personal recogen el texto informativo en protección de datos.
- Controlar el archivo y almacenamiento de la información de
carácter personal, en la red informática y en los archivadores,
tratando que se adopten las oportunas MEDIDAS DE SEGURIDAD.
- Comunicar las incidencias a los Responsables de Seguridad.
- Canalizar el ejercicio de derechos ARCO.
- Dudas o cuestiones que se susciten en este ámbito, remitir a los
Responsables de Seguridad – es importante la comunicación.
EN CUMPLIMIENTO DE LA NORMATIVA …
En LA UNIVERSIDAD DE ALMERÍA llevamos tiempo trabajando en la
adecuación a la normativa de protección de datos de carácter
personal, con los constantes cambios que ésta va sufriendo:
Hemos inscrito los ficheros en la AEPD (a)
Hemos incorporado cláusulas informativas en diferentes procedimientos de
recogida de información (e)
Hemos incorporado cláusulas en los contratos con prestadores de servicios
con acceso y sin acceso a datos (i)
Disponemos de medidas técnicas y organizativas definidas y plasmadas en un
documento de seguridad actualizado mediante un software de gestión LOPD
(o)
 Impartición formación y continuaremos con la concienciación… (u)
El cumplimiento de esta legislación es trasversal, afecta a
todas las áreas y NO DEPENDE SÓLO Y EXCLUSIVAMENTE DE
UN DEPARTAMENTO. AFECTA A TODA LA UNIVERSIDAD.
¡¡ES CUESTIÓN DE TODOS, QUIENES FORMAN PARTE DE LA
UNIVERSIDAD !!!
Se continuará adecuando la Universidad a la normativa…