En compliment de la Llei 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD), a la Universitat Pompeu Fabra s'han establert per Resolució de la rectora de 26 de juny del 2003 les mesures organitzatives sobre protecció de dades de caràcter personal, s'ha formalitzat la creació de diversos fitxers i s'han inscrit en les agències de protecció de dades.

En l'àmbit de la seguretat, en la resolució esmentada es preveu la necessitat de comptar amb un document de seguretat en compliment del Reglament de Mesures de Seguretat dels Fitxers Automatitzats que continguin Dades de Caràcter Personal, aprovat pel Reial Decret 994/1999, d'11 de juny, que estableix els requisits de seguretat que han de complir les institucions per a donar compliment a la LOPD.

És per això, que vist l'article 178.1 dels Estatuts de la Universitat Pompeu Fabra que disposa que el Consell de Govern ha de prendre les mesures necessàries per garantir la seguretat i la confidencialitat de les dades de caràcter personal, d'acord amb la legislació vigent, s'acorda:

Article 1. Àmbit d'aplicació

Aquesta normativa té per objectiu definir els continguts que ha de tenir el Document de Seguretat, així com les obligacions que ha de complir el personal de la UPF com usuari de dades de caràcter personal per observar un estricte compliment de la legislació vigent sobre protecció de dades de caràcter personal.

Article 2. Àmbit objectiu

1. El Document de Seguretat és el conjunt de mesures tècniques i organitzatives adreçades a protegir els sistemes d'informació en relació al tractament de les dades de caràcter personal.

2. El Document de Seguretat s'aplicarà a tots els fitxers que continguin dades de caràcter personal, sense perjudici de les especialitats que, si escau, s'indiquin per a cadascun dels nivells de seguretat: alt, mig o baix.

3. També s'aplicarà a qualsevol fitxer temporal, parcial o de proves, extret dels sistemes d'informació o dels fitxers que indiqui el Document de Seguretat.

4. El Document de Seguretat pot ser únic o per nivells de seguretat, amb els annexos corresponents a cada fitxer.

Article 3. Àmbit subjectiu

1. El Document de Seguretat és d'obligat compliment per a tot el personal de la UPF, ja sigui funcionari, laboral, interí, eventual o vinculat a través de qualsevol altre relació contractual, així com a qualsevol altre personal que presti els seus serveis, encara que no disposi de cap vincle contractual.

2. La UPF ha de garantir que el seu personal usuari de dades de caràcter personal coneix i dona compliment de les obligacions i mesures de seguretat a que obliga la legislació aplicable, les quals hauran d'ésser conegudes, acceptades i respectades per tot el personal.

Article 4. Òrgans competents

1. El Document de Seguretat dels fitxers així com les seves modificacions són elaborats pel Responsable de Seguretat, amb l'informe del Servei d'Assessoria Jurídica, i són aprovats pel gerent com a responsable del fitxers de la UPF.

2. El responsable de seguretat i l'administrador de seguretat estaran a càrrec del manteniment del Document de Seguretat. Vetllaran perquè estigui sempre actualitzat i perquè només les persones autoritzades hi puguin accedir. Rebran les informacions dels responsables interns dels fitxers i informaran al responsable del fitxers de la UPF de qualsevol canvi.

3. El Document de Seguretat serà custodiat pel vicegerent competent en sistemes informàtics, el qual rebrà les informacions necessàries del Servei d'Informàtica i dels responsables interns dels fitxers en les matèries que siguin de la seva competència.

4. El responsable de seguretat comprovarà periòdicament l'aplicació i el compliment del Document de Seguretat. A aquests efectes, elaborarà un informe resum on s'especifiquin els controls efectuats per verificar el seu compliment, les anomalies i deficiències que en matèria de seguretat s'hagin detectat i una relació de les solucions i millores proposades. Aquest informe l'elevarà al gerent perquè adopti les mesures correctores adequades.

Article 5. Contingut del Document de Seguretat

1. El Document de Seguretat dels fitxers de la UPF es refereix com a mínim a les funcions i responsabilitat del personal implicat en el tractament de dades, especificacions tècniques i, en el seu cas, instruccions de tractament al personal de la Universitat.

2. El Document de Seguretat ha d'incloure, com a mínim els següents aspectes:

a. Àmbit d'aplicació del document amb especificació detallada dels fitxers i recursos protegits.
b. Estructura del fitxer i descripció dels sistemes d'informació, amb la relació d'aplicacions informàtiques amb accés a la informació, ordinadors, etc.
c. Nivell de seguretat, amb indicació de mesures, normes, procediments, regles i estàndars encaminats a garantir el nivell de seguretat exigit en la normativa vigent i en les normes de la UPF.
d. Identificació del personal implicat en el tractament de dades.
e. Funcions i obligacions del personal derivades del tractament de dades.
f. Nivells d'accés intern dels usuaris a la informació.
g. Mesures de seguretat, procediment operacionals i gestió d'incidències:

I. Registre d'incidències. Procediment de notificació, gestió, i resposta davant de les incidències.
II. Règim d'accés a la informació.
III. Tractament i accés a la informació en suport paper.
IV. Còpies de seguretat. Els procediments de realització de còpies de suport i de recuperació de dades.
V. Control d'accés als locals.
VI. Mesures de seguretat en les comunicacions.
VII. Auditories: controls periòdics que s'hagin de realitzar per a verificar el compliment de seguretat i del que disposa el propi document de seguretat.

h. Instruccions sobre tractament de dades

Article 6. Normes d'observació general

Amb caràcter general, les normes que han d'ésser observades per tot l'entorn de la UPF són:

1. Ètica del Tractament:

a. Totes les dades de caràcter personal, han de tenir assegurat el correcte ús i l'estricte compliment ètic del tractament.
b. No es poden recollir dades per mitjans fraudulents, deslleials o il·lícits.
c. Tot el personal que hagi d'utilitzar dades de caràcter personal haurà de comprometre's a guardar i observar aquestes normes i les descrites en el Document de Seguretat.

2. Intimitat:

a. No es poden crear o mantenir fitxers amb la finalitat exclusiva d'emmagatzemar dades que revelin ideologia, religió, creences, origen racial i vida sexual.
b. Hi ha l'obligació, en tots els casos, d'advertir als interessats del dret a no prestar el seu consentiment a donar dades especialment protegides o a cedir-les, excepte indicacions en contra.

3. Confidencialitat:

a. Només accediran a les dades les persones que estiguin autoritzades, restringint el pas per al seu ús a totes les altres.
b. L'obligació del deure de secret afecta totes les persones que intervinguin en qualsevol fase del tractament de les dades de caràcter personal, fins i tot després d'haver finalitzat la relació amb la UPF.

4. Integritat o qualitat de les dades:

a. Les dades no es poden usar per a finalitats diferents d'aquelles per a les quals van ésser recollides.
b. Les dades han de ser adequades, pertinents i no excessives en relació amb l'àmbit i finalitats legítimes per a les que s'hagin obtingut.
c. S'ha de garantir que totes les dades en possessió de la UPF són exactes i actuals, que no es puguin deteriorar, estigui assegurada l'ètica en el tractament, tant intern com en possibles sortides, i que existeixi la garantia de que no hi ha pèrdues d'informació.
d. Les dades han d'estar permanentment actualitzades.
e. Les dades incorrectes o inexactes seran cancel·lades o substituïdes per les correctes.

5. Disponibilitat:

a. S'ha de garantir la disponibilitat de les dades de caràcter personal emmagatzemades als fitxers, mitjançant procediments que permetin la seva recuperació en cas de pèrdua o de desastre.
b. Les dades de caràcter personal s'emmagatzemaran de tal forma que permetin l'exercici dels drets d'accés, oposició, rectificació i cancel·lació per part de l'afectat.

Article 7. Obligacions dels usuaris de dades de caràcter personal

1. Té la consideració d'usuari qualsevol persona de la UPF autoritzada a accedir a dades o recursos inclosos dins l'àmbit d'aplicació del Document de Seguretat del fitxer.

2. Són obligacions del personal de la UPF usuari de dades de caràcter personal:

a. Conèixer la normativa aplicable al tractament de dades de caràcter personal.
b. Realitzar el tractament de dades d'acord amb la normativa pròpia de la UPF en aquesta matèria.
c. En el cas que li correspongui, obtenir les dades de caràcter personal d'acord amb el procediment establert en la normativa pròpia de la UPF.
d. Respectar les finalitats del fitxer.
e. Informar de qualsevol incidència detectada en el tractament de dades, d'acord amb el procediment que s'estableixi.
f. Respondre amb la màxima celeritat als requeriments en matèria de tractament de dades de les persones responsables a la UPF en aquesta matèria (responsable intern del fitxer, responsable de seguretat, administrador de seguretat i responsable del fitxer).
g. Complir amb les mesures de seguretat adoptades d'acord amb el que s'especifica en el Document de Seguretat.
h. Respectar els procediments interns establerts en la normativa pròpia sobre atenció als drets d'accés, rectificació, cancel·lació i oposició, cessions de dades, creació i modificació de fitxers, així com qualsevol altre procediment intern que s'estableixi sobre tractament de dades.
i. Respectar el règim d'accés intern a la informació establert en la normativa pròpia.
j. Respectar els deures de secret i confidencialitat de la informació a la que es tingui accés fins i tot després d'haver deixat d'ocupar el lloc de treball.
k. Guardar reserva sobre la seva contrasenya personal.
l. Respectar les funcions del personal incloses al Document de Seguretat per a cada procediment.

3. En cas que existeixin usuaris que no formin part del personal al servei de la UPF, les seves obligacions i responsabilitats hauran d'estar clarament especificades mitjançant la formalització d'un contracte, pacte, acord o qualsevol altre acte equivalent que permeti acreditar l'establiment de les obligacions i responsabilitats corresponents, així com el compromís d'acomplir-les.