L'article 80.3 del Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (RDLOPD) estableix  que el document de seguretat ha de contenir el procediment de notificació, gestió i resposta davant les incidències que afectin les dades de caràcter personal. D'altra banda, els articles 90 i 100 d'aquest mateix reglament estableixen l'obligatorietat d'anotar les incidències.

D'altra banda, l'article 7 de la Normativa per la qual es regulen les mesures per garantir la seguretat i confidencialitat de les dades de caràcter personal a la UPF, aprovada per Acord del Consell de Govern de 15 de juny del 2005, estableix l'obligació dels usuaris de dades personals d'informar de qualsevol incidència detectada en el tractament de dades, d'acord amb el procediment que s'estableixi.

És per això, que en ús de les competències que m'atorga l'article 52 dels Estatuts de la Universitat Pompeu Fabra,

 

HE RESOLT:

Primer. Definicions.

Als efectes que preveu aquesta resolució, s'entén per:

a) Incidència: qualsevol anomalia que afecti o pugui afectar la seguretat de les dades.

b) Fitxer: qualsevol conjunt organitzat de dades de caràcter personal que permeti l'accés a les dades d'acord amb uns criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés.

c) Recurs: qualsevol part component d'un sistema d'informació.

d) Sistema d'informació: conjunt de fitxers, tractaments, programes, suports i, si s'escau, equips utilitzats per al tractament de dades de caràcter personal.

e) Suport: objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema d'informació i sobre el qual es poden gravar i recuperar dades.

f) Tractament de dades: qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.

g) Usuari: subjecte o procés autoritzat per accedir a dades o recursos. Es considera usuari qualsevol persona que accedeix a les dades de caràcter personal dels fitxers de la Universitat, ja siguin membres del PDI o del PAS, persones externes, estudiants o persones que es connecten o interactuen amb els sistemes d'informació de la Universitat. Tenen la consideració d'usuaris els processos que permeten accedir a dades o recursos sense identificació d'un usuari físic.

h) RIPD: registre d'incidències de Protecció de Dades de la UPF.

i) Sistema d'informació de protecció de dades de la Universitat: pàgines del web corporatiu de la UPF i del Campus Global on la universitat informa de tot allò relacionat amb el compliment de la LOPD.

 

Segon. Àmbit d'aplicació.

El procediment regulat en aquesta resolució és d'aplicació a les incidències que afectin o puguin afectar a la seguretat de les dades de caràcter personal incorporades a fitxers de responsabilitat de la UPF, independentment del format o suport en el qual estiguin emmagatzemades o organitzades.

 

Tercer. Àmbit subjectiu

Estan obligats a notificar les incidències els usuaris dels sistemes d'informació de la Universitat que tractin dades de caràcter personal.

 

Quart. Notificació de les  incidències

Els usuaris dels sistemes d'informació de la Universitat que detectin una incidència de seguretat ho han de notificar a la vicegerència competent en tecnologies i recursos de la informació, com a Responsable de Seguretat, amb el formulari normalitzat que es troba a disposició dels usuaris al sistema d'informació de protecció de dades de la Universitat, sense perjudici que per determinades circumstàncies o per motiu d'urgència es pugui comunicar mitjançant els telèfons o les adreces de correus electrònics indicats a l'esmentat sistema d'informació.

 

CinquèContingut de la notificació

Les notificacions han d'incloure, com a mínim, les dades següents:

- Dades identificatives i de contacte de la persona que fa la comunicació.
- Data i hora en què s'ha produït la incidència o, si es desconeix, la data i hora en què s'ha detectat.
- Descripció de la incidència.
- Qualsevol altra informació que es consideri d'utilitat per la gestió de la incidència.

 

SisèGestió i resposta de les incidències

1. El o la Responsable de Seguretat, conjuntament amb el o la Cap del Servei d'Informàtica, com Administrador o Administradora de Seguretat, analitzaran la notificació per determinar si és una incidència de seguretat relacionada amb dades de caràcter personal.

a) En el cas que no ho sigui, se li comunicarà a la persona que ha notificat la incidència, sense perjudici de que aquesta sigui tractada segons la seva naturalesa pels serveis competents.

b) En el cas que sigui una incidència de seguretat relacionada amb dades de caràcter personal, es donarà d'alta en el Registre d'Incidències de Protecció de Dades de la Universitat (RIPD).

2. El o la Responsable de Seguretat comunicarà la incidència als Responsables interns dels fitxers afectats i determinarà les mesures correctores a aplicar, els controls que caldrà implantar o reforçar i les persones que les executaran.

3. Una vegada tancada la incidència de seguretat, el o la  Responsable de Seguretat informarà d'aquest fet a la persona que va fer la notificació i als Responsables dels fitxers afectats.

 

Setè. Custòdia de l'expedient

El o la Responsable de Seguretat haurà de mantenir la custòdia dels expedients d'incidències de seguretat d'acord amb la política de gestió documental indicada per l'Arxiu.

 

Vuitè. Inscripció de les incidències de seguretat en el RIPD

1. Cada incidència de seguretat de dades de caràcter personal haurà d'inscriure's en el RIPD amb la següent informació:

- Tipus d'incidència
- Data i hora en la que es va produir, o, en el seu cas, es va detectar.
- Data i hora de la notificació de la incidència
- Descripció detallada de la incidència.
- Usuari que ha comunicat la incidència.
- Persones a qui s'ha comunicat i mitjançant quin mecanisme.
- Efectes derivats de la incidència.
- Les mesures correctores aplicades i controls implantats o reforçats, si és el cas. 
- Data i hora del tancament de la incidència.
- Persona que tanca la incidència.
- Qualsevol altra informació que determini la legislació de protecció de dades de caràcter personal o les normes que en el seu desenvolupament dicti la universitat.
- En el cas de recuperació de dades de nivell mitjà o alt, caldrà complimentar també els següents camps:

• Persona que autoritza la recuperació de dades en el cas que el o la responsable de seguretat hagi delegat aquesta funció o hagi habilitat algú a l'efecte.
• Dades restaurades des de les còpies de suport
• Persona encarregada de la restauració de les dades
• Dades restaurades manualment

2. El o la Responsable de Seguretat, per mitjà de l'administrador o administradora de seguretat, o persona que designi, demanarà la informació a les persones implicades en la resolució de la incidència per tal de complimentar el RIPD.