Vista la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i el Reial Decret 994/1999, d'11 de juny, pel qual s'aprova el reglament de mesures de seguretat dels fitxers automatitzats que contenen dades de caràcter personal, i als efectes de donar-los compliment, es considera necessari establir l'estructura de responsabilitat i seguretat dels fitxers de la UPF que contenen dades de caràcter personal, així com les instruccions generals que han de complir els fitxers d'aquesta naturalesa, als efectes de garantir la privacitat de les dades dels membres de la comunitat universitària o de les persones vinculades a la UPF de les que s'obtenen dades, i que aquestes són utilitzades exclusivament amb les finalitats anunciades.
És per això, que es ús de les competències que m'atorga l'article 54 dels Estatuts de la UPF,
HE RESOLT:
Article 1. Normes generals sobre les dades de caràcter personal
1. Les dades de caràcter personal recollides per la Universitat per qualsevol mitjà no s'utilitzaran per a altres finalitats que no siguin les relacionades amb les activitats que la Universitat porta a terme i estiguin contemplades en la resolució de creació dels fitxers.
2. La cessió de dades de caràcter personal es podrà realitzar només en la forma i amb les limitacions i drets que estableix la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Amb excepció feta dels casos previstos a la Llei, no es cediran dades a cap altra entitat o organisme llevat que compti amb el consentiment exprés de la persona interessada.
Article 2. Fitxers que continguin dades de caràcter personal
1. Les dades personals recollides per la Universitat formen part dels seus fitxers i seran tractades amb finalitats de gestió de la UPF, difusió d'informació institucional i d'informació destinada a la formació i inserció laboral i professional dels membres de la comunitat universitària. La UPF també podrà fer ús de les dades contingudes en el seus fitxers amb finalitats històriques, estadístiques o científiques.
2. En el moment de recollir les dades de caràcter personal s'informarà als afectats de la seva incorporació a un fitxer, la finalitat d'aquest i de les cessions previstes de les seves dades, havent d'obtenir el seu consentiment per als casos no coberts per la legislació. Les dades que es recullin hauran de ser adequades, pertinents i no excessives en relació amb les finalitat del fitxer.
3. Les dades de caràcter personal que obrin en els fitxers de la UPF han de ser exactes i actualitzades per tal de respondre amb veracitat a la situació actual del afectat.
Article 3. Creació, modificació o supressió de fitxers que continguin dades de caràcter personal
La creació, modificació o supressió dels fitxers que continguin dades de caràcter personal es realitza per resolució de la rectora publicada al Diari Oficial de la Generalitat de Catalunya, que posteriorment serà notificada a l'Agència de Protecció de Dades competent.
Article 4. Estructura de responsabilitat i seguretat dels fitxers que continguin dades de caràcter personal
1. El responsable dels fitxers, a efectes de la LOPD, és la Universitat Pompeu Fabra i, en la seva representació, el gerent de la Universitat.
Són funcions del gerent com a responsable dels fitxers de la UPF:
a) Decidir sobre la finalitat, contingut i usos dels fitxers de la UPF que contenen dades de caràcter personal i proposar a la rectora la seva creació, modificació o supressió.
b) Aprovar el Document de Seguretat i les seves modificacions.
c) Autoritzar el tractament de dades fora de la UPF.
d) Autoritzar la sortida de suports informàtics fora de les dependències de la institució que continguin dades de caràcter personal.
e) Dictar instruccions internes sobre la protecció de dades.
2. La responsabilitat de la seguretat dels fitxers recau en el vicegerent competent en sistemes informàtics pel que fa a mesures organitzatives, directrius i polítiques generals de seguretat i en la cap de la Unitat d'Informàtica pel que fa a l'administració i execució de mesures tècniques de seguretat.
2.1 En el cas dels fitxers automatitzats, són funcions del vicegerent competent en sistemes informàtics com a responsable de seguretat dels fitxers, i en funció del nivell de seguretat de cada fitxer:
2.1.1 En matèria del Document de Seguretat
a) Elaborar el Document de Seguretat, mantenir-lo actualitzat i coordinar i controlar periòdicament les mesures que hi són definides.
b) Descriure els sistemes d'informació que realitzen el tractament de les dades personals de la Universitat i els recursos informàtics als quals s'aplicarà el Document de Seguretat.
2.1.2 En matèria de mesures de seguretat
a) Coordinar, controlar i supervisar les activitats relacionades amb els fitxers automatitzats en matèria de seguretat.
b) Definir i establir les normes i procediments que en matèria de seguretat afecten als fitxers automatitzats, així com recopilar i descriure les mesures, normes, procediments, regles i estàndards de seguretat adoptats per la Universitat i vetllar pel compliment de les normes de seguretat contingudes en el Document de Seguretat.
2.1.3 En matèria de funcions i obligacions del personal
a) Establir plans de formació, conscienciació i divulgació de les normes, obligacions i procediments de seguretat.
b) Assegurar que el personal que tracta dades personals coneix el Document de Seguretat i es compromet al seu compliment.
2.1.4 En matèria de Registre d'incidències
a) Supervisar i analitzar de forma periòdica les incidències relacionades amb la seguretat dels fitxers automatitzats i dictaminar mesures per donar resposta a les incidències greus succeïdes.
b) Assegurar que en el Registre d'incidències hi consten les cessions de dades realitzades i les anotacions sobre l'exercici dels drets d'accés, rectificació i cancel·lació.
2.1.5 En matèria de Control d'accés lògic - Identificació i autenticació
a) Elaborar i mantenir actualitzada la llista d'usuaris que tinguin accés autoritzat al sistema informàtic de la Universitat, amb especificació del nivell d'accés que té cada usuari i establir els sistemes necessaris per evitar que un usuari pugui accedir a dades o recursos amb drets distints dels autoritzats.
b) Establir i comprovar l'aplicació dels procediment d'identificació i autenticació d'usuaris, així com d'assignació, distribució i emmagatzematge de contrasenyes i establir els sistemes que garanteixin la seva confidencialitat.
c) Concedir, alterar o anul·lar l'accés autoritzat a les dades i recursos, d'acord amb els criteris establerts pel responsable dels fitxers de la UPF.
2.1.6 En matèria de Control d'accés físic
Establir i comprovar l'aplicació de mesures de control de l'accés físic als locals on es trobin ubicats els sistemes d'informació amb dades de caràcter personal.
2.1.7 En matèria de Gestió de suports
a) Establir i comprovar l'aplicació d'un sistema que permeti identificar, inventariar i emmagatzemar en lloc segur els suports informàtics que contenen dades de caràcter personal.
b) Establir i comprovar l'aplicació de registres d'entrada i de sortida de suports informàtics i comprovar que la distribució dels suports es realitza amb garanties de seguretat.
2.1.8 En matèria de Còpies de suport i recuperació
Establir i comprovar l'aplicació del procediment de realització de còpies de suport i recuperació de dades i autoritzar per escrit l'execució dels procediments de recuperació de dades.
2.1.9 En matèria de Proves amb dades reals
Comprovar que en la fase de proves dels sistemes d'informació, en els casos en que és obligatori, aquestes no s'efectuen amb dades personals reals o que compten amb les condicions de seguretat establertes.
2.1.10 En matèria de Telecomunicacions
Comprovar que la transmissió de dades de caràcter personal a través de xarxes de telecomunicacions es realitzi mitjançant mecanismes que garanteixin que la informació no sigui intel·ligible ni manipulada per tercers.
2.1.11 En matèria d'Auditoria
a) Coordinar i controlar la realització d'una auditoria interna o externa sobre els sistemes d'informació i instal·lacions en què es porta a terme el tractament de les dades personals, que verifiqui el compliment de la legislació vigent i els procediments i instruccions vigents en matèria de seguretat de dades.
b) Analitzar els informes d'auditoria i elevar les conclusions al responsable dels fitxers de la UPF.
2.1.12 Altres competències
Totes aquelles altres funcions previstes al Reial Decret 994/1999, d'11 de juny, pel qual s'aprova el reglament de mesures de seguretat dels fitxers automatitzats que contenen dades de caràcter personal.
2.2. Són funcions de la cap de la Unitat d'Informàtica com administradora de seguretat:
a) Coadjuvar al responsable de seguretat en el compliment de les mesures establertes per la legislació i aquesta resolució en allò que fa al vessant tècnic i informàtic.
b) Proposar-li les mesures tècniques necessàries per a garantir les mesures de seguretat que la legislació i aquesta resolució estableixen.
L'administradora de seguretat podrà delegar les seves tasques en altres persones de la seva Unitat, comunicant-t'ho expressament al vicegerent competent en sistemes informàtics. Aquesta circumstància haurà de constar en el Document de Seguretat del fitxer.
3. Els caps de les unitats o serveis administratius que, per al compliment de les tasques encomanades a la seva unitat o servei, necessiten tractar dades de caràcter personal seran responsables interns dels fitxers (encarregats del tractament) en l'àmbit de la seva funció. Hauran de vetllar perquè el tractament s'ajusti a allò previst a la legislació així com assegurar-se de l'establiment i compliment de les disposicions de seguretat adients. Seran els òrgans davant dels quals hauran d'adreçar-se les persones interessades per exercir els drets d'accés, rectificació, oposició o cancel·lació.
En el cas que un fitxer sigui gestionat per més d'un servei, el responsable intern (encarregat del tractament) del mateix serà el vicegerent competent en la matèria sobre la que versi el fitxer.
En el cas que un centre o estudi, un departament o un institut universitari de recerca necessiti tractar dades de caràcter personal, seran responsables interns (encarregat del tractament) dels fitxers els degans i directors respectius.
4. S'entendrà que són usuaris dels fitxers totes les persones que en l'exercici de les seves competències tractin dades de caràcter personal. Aquestes dades només podran ser tractades d'acord amb les competències de cada lloc de treball i d'acord amb les finalitats dels fitxers. Els usuaris dels fitxers hauran d'informar de qualsevol incidència als responsables interns dels fitxers i complir les mesures de seguretat adoptades d'acord amb el Document de Seguretat.
5. Totes les persones de la UPF que tinguin accés a dades de caràcter personal hauran de respectar els deures de secret professional i confidencialitat de la informació a la que tinguin accés fins i tot després de deixar d'ocupar el lloc de treball.
Article 5 Accés a les dades per tercers
1. Les dades personals contingudes als fitxers de la UPF són d'accés intern. El vicegerent competent en sistemes informàtics ha de vetllar perquè en el cas que, conforme l'article 3 g) de la LOPD, hagin de ser tractades per un tercer, o tenir-hi accés per a la prestació d'un servei, s'hagi establert el corresponent contracte. En aquest s'han de fixar les condicions del tractament o accés i les mesures de seguretat a aplicar, d'acord amb el previst a l'article 12 del Reial Decret 994/1999, ja citat.
2. El vicegerent comunicarà per escrit als tercers encarregats del tractament les mesures de seguretat que s'han d'aplicar d'acord amb el reglament de seguretat.
Article 6. Document de Seguretat
1. El conjunt de mesures tècniques i organitzatives adreçades a protegir els sistemes d'informació es recolliran en el Document de Seguretat en compliment d'allò previst al Reial Decret 994/1999, d'11 de juny, ja citat. El Document de Seguretat podrà ser únic o per nivells de seguretat, amb els annexos corresponents a cada fitxer.
2. El Document de Seguretat ha de reflectir la situació dels fitxers i ha d'estar permanentment actualitzat. Qualsevol canvi en les mesures de seguretat haurà de ser aprovat pel responsable del fitxers de la UPF.
3. El responsable de seguretat i l'administrador de seguretat estaran a càrrec del manteniment del Document de Seguretat. Vetllaran perquè estigui sempre actualitzat i perquè només les persones autoritzades hi puguin accedir. Rebran les informacions dels responsables interns dels fitxers i informaran al responsable del fitxers de la UPF de qualsevol canvi.
4. El Document de Seguretat serà custodiat pel vicegerent competent en sistemes informàtics, el qual rebrà les informacions necessàries de la Unitat d'Informàtica i dels responsables interns dels fitxers en les matèries que siguin de la seva competència.
5. El vicegerent competent en sistemes informàtics, com a part de la seva funció d'auditoria interna, té atribuïda la funció de control del compliment d'allò previst en el Document de Seguretat. A aquests efectes portarà a terme auditories periòdiques i vetllarà perquè es realitzin les que la legislació vigent disposa. Les deficiències detectades hauran de ser posades en coneixement de l'administrador de seguretat i dels responsables interns del tractament de les dades dels fitxers per tal que adoptin les mesures correctores adients.
Article 7. Exercici dels drets d'accés, rectificació, cancel·lació i oposició.
1. Per tal de donar compliment a l'exercici dels drets d'accés, rectificació, cancel·lació i oposició, els responsables interns dels fitxers assenyalats en la resolució de creació del fitxer, una vegada verificat que l'ha realitzat la persona interessada o el seu representant legal i que l'ha acompanyat de còpia del DNI, han d'adoptar les mesures que condueixin a satisfer la petició i han de notificar els resultats a la persona interessada.
2. Les sol·licituds que no vagin adreçades a la unitat concreta que figura com a òrgan davant el qual exercir aquests drets, seran trameses al vicegerent competent en sistemes informàtics, que les remetrà als responsables interns dels fitxers que constin en la resolució per tal que actuïn tal com s'indica a l'apartat anterior.
3. En el cas que la sol·licitud afecti a l'accés, rectificació, cancel·lació o oposició de dades personals no obtingudes directament de l'interessat o del seu representant legal sinó d'altres fitxers de la UPF, la verificació de la pertinença de la sol·licitud correspondrà al responsable intern del fitxer del que provenen les dades originàriament.
4. Per tal de garantir la qualitat de les dades dels fitxers de la UPF, el vicegerent competent en sistemes informàtics establirà els procediments interns per assegurar la comunicació de les modificacions operades en els fitxers relacionats entre sí com a conseqüència de l'exercici dels drets d'accés, rectificació, cancel·lació i oposició.
Article 8. Cessió de dades
En els casos en que per part dels afectats hi hagi consentiment exprés de cessió de dades personals per a les finalitats anunciades, la cessió a tercers requerirà l'autorització del Secretari General de la Universitat.
M. Rosa Virós i Galtier
Rectora
Barcelona, 26 de juny del 2003