Vista la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i el Reial Decret 1720/2007, de 25 de desembre, i als efectes de donar-los compliment, s'estableix l'estructura de responsabilitat i seguretat dels fitxers de la UPF que contenen dades de caràcter personal, així com les instruccions generals que han de complir els fitxers d'aquesta naturalesa, als efectes de garantir la privacitat de les dades dels membres de la comunitat universitària o de les persones vinculades a la UPF de les que s'obtenen dades, i que aquestes són utilitzades exclusivament amb les finalitats anunciades.

És per això, que es ús de les competències que m'atorga l'article 54 dels Estatuts de la UPF,

 

HE RESOLT:

Article 1. Normes generals sobre les dades de caràcter personal

1. Les dades de caràcter personal recollides per la Universitat per qualsevol mitjà no s'utilitzaran per a altres finalitats que no siguin les relacionades amb les activitats que la Universitat porta a terme i estiguin contemplades en la resolució de creació dels fitxers.

2. La cessió de dades de caràcter personal es podrà realitzar només en la forma i amb les limitacions i drets que estableix la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Amb excepció feta dels casos previstos a la Llei, no es cediran dades a cap altra entitat o organisme llevat que compti amb el consentiment exprés de la persona interessada.

 

Article 2. Fitxers que continguin dades de caràcter personal

1. Les dades personals recollides per la Universitat formen part dels seus fitxers i seran tractades amb finalitats de gestió de la UPF, difusió d'informació institucional i d'informació destinada a la formació i inserció laboral i professional dels membres de la comunitat universitària. La UPF també podrà fer ús de les dades contingudes en el seus fitxers amb finalitats històriques, estadístiques o científiques.

2. En el moment de recollir les dades de caràcter personal s'informarà als afectats de la seva incorporació a un fitxer, la finalitat d'aquest i de les cessions previstes de les seves dades, havent d'obtenir el seu consentiment per als casos no coberts per la legislació. Les dades que es recullin hauran de ser adequades, pertinents i no excessives en relació amb les finalitat del fitxer.

3. Les dades de caràcter personal que obrin en els fitxers de la UPF han de ser exactes i actualitzades per tal de respondre amb veracitat a la situació actual del afectat.

 

Article 3. Creació, modificació o supressió de fitxers que continguin dades de caràcter personal

La creació, modificació o supressió dels fitxers que continguin dades de caràcter personal es realitza per resolució del rector o rectora publicada al Diari Oficial de la Generalitat de Catalunya, que posteriorment serà notificada l'Autoritat Catalana de Protecció de Dades.

 

Article 4. Estructura de responsabilitat i seguretat dels fitxers que continguin dades de caràcter personal

1. El responsable dels fitxers, a efectes de la LOPD, és la Universitat Pompeu Fabra i, en la seva representació, el gerent de la Universitat.

Són funcions del gerent com a responsable dels fitxers de la UPF:

a) Decidir sobre la finalitat, contingut i usos dels fitxers de la UPF que contenen dades de caràcter personal i proposar al rector o rectora la seva creació, modificació o supressió.

b) Aprovar el Document de Seguretat i les seves modificacions.

c) Autoritzar el tractament de dades fora de la UPF.

d) Autoritzar la sortida de suports informàtics fora de les dependències de la institució que continguin dades de caràcter personal.

e) Dictar instruccions internes sobre la protecció de dades.

f) Vetllar per l'acompliment del deure d'informar als titulars de les dades personals que es tracten.

g) Vetllar per l'acompliment d'obtenir el consentiment del titular de les dades per a poder tractar-les.

h) Atendre els drets d'accés, rectificació, cancel·lació i oposició.

i) Adoptar les mesures de seguretat exigides per la normativa vigent.

j) Regular la relació amb els encarregats del tractament i, si és el cas, vetllar perquè aquests reuneixin les garanties necessàries per complir la normativa en matèria de protecció de dades.

2. La responsabilitat de la seguretat dels fitxers automatitzats i no automatitzats, recau en el o la vicegerent competent en sistemes informàtics pel que fa a mesures tècniques, organitzatives, directrius i polítiques generals de seguretat, així com en vetllar per al seu acompliment, i en el o la cap del Servei d'Informàtica pel que fa a l'administració i execució de mesures tècniques de seguretat, sense perjudici de les competències de la Secretaria General.

2.1 En el cas dels fitxers automatitzats, són funcions del vicegerent competent en sistemes informàtics com a responsable de seguretat dels fitxers, i en funció del nivell de seguretat de cada fitxer:

2.1.1 En matèria del Document de Seguretat

a) Elaborar el Document de Seguretat, mantenir-lo actualitzat i coordinar i controlar periòdicament les mesures que hi són definides.

b) Descriure els sistemes d'informació que realitzen el tractament de les dades personals de la Universitat i els recursos informàtics als quals s'aplicarà el Document de Seguretat.

c) Assegurar que en el Document de Seguretat hi consten les cessions de dades realitzades i les anotacions sobre l'exercici dels drets d'accés, rectificació i cancel·lació.

2.1.2 En matèria de mesures de seguretat

a) Coordinar, controlar i supervisar les activitats relacionades amb els fitxers automatitzats en matèria de seguretat.

b) Definir i establir les normes i procediments que en matèria de seguretat afecten als fitxers automatitzats, així com recopilar i descriure les mesures, normes, procediments, regles i estàndards de seguretat adoptats per la Universitat i vetllar pel compliment de les normes de seguretat contingudes en el Document de Seguretat.

2.1.3 En matèria de funcions i obligacions del personal

a) Establir plans de formació, conscienciació i divulgació de les normes, obligacions i procediments de seguretat.

b) Assegurar que el personal que tracta dades personals coneix el Document de Seguretat i es compromet al seu compliment.

2.1.4 En matèria de Registre d'incidències

Supervisar i analitzar de forma periòdica les incidències relacionades amb la seguretat dels fitxers automatitzats i dictaminar mesures per donar resposta a les incidències greus succeïdes.

2.1.5 En matèria de Control d'accés lògic - Identificació i autenticació

a) Elaborar i mantenir actualitzada la llista d'usuaris que tinguin accés autoritzat al sistema informàtic de la Universitat, amb especificació del nivell d'accés que té cada usuari i establir els sistemes necessaris per evitar que un usuari pugui accedir a dades o recursos amb drets distints dels autoritzats.

b) Establir i comprovar l'aplicació dels procediment d'identificació i autenticació d'usuaris, així com d'assignació, distribució i emmagatzematge de contrasenyes i establir els sistemes que garanteixin la seva confidencialitat.

c) Concedir, alterar o anul·lar l'accés autoritzat a les dades i recursos, d'acord amb els criteris establerts pel responsable dels fitxers de la UPF.

2.1.6 En matèria de Control d'accés físic

Establir i comprovar l'aplicació de mesures de control de l'accés físic als locals on es trobin ubicats els sistemes d'informació amb dades de caràcter personal.

2.1.7 En matèria de Gestió de suports

a) Establir i comprovar l'aplicació d'un sistema que permeti identificar, inventariar i emmagatzemar en lloc segur els suports informàtics que contenen dades de caràcter personal.

b) Establir i comprovar l'aplicació de registres d'entrada i de sortida de suports informàtics i comprovar que la distribució dels suports es realitza amb garanties de seguretat.

2.1.8 En matèria de Còpies de suport i recuperació

Establir i comprovar l'aplicació del procediment de realització de còpies de suport i recuperació de dades i autoritzar per escrit l'execució dels procediments de recuperació de dades.

2.1.9 En matèria de Proves amb dades reals

 

Comprovar que en la fase de proves dels sistemes d'informació, en els casos en que és obligatori, aquestes no s'efectuen amb dades personals reals o que compten amb les condicions de seguretat establertes.
 
2.1.10 En matèria de Telecomunicacions

 

Comprovar que la transmissió de dades de caràcter personal a través de xarxes de telecomunicacions es realitzi mitjançant mecanismes que garanteixin que la informació no sigui intel·ligible ni manipulada per tercers.

2.1.11 En matèria d'Auditoria

a) Coordinar i controlar la realització d'una auditoria interna o externa sobre els sistemes d'informació i instal·lacions en què es porta a terme el tractament de les dades personals, que verifiqui el compliment de la legislació vigent i els procediments i instruccions vigents en matèria de seguretat de dades.

b) Analitzar els informes d'auditoria i elevar les conclusions al responsable dels fitxers de la UPF.

2.1.12 Altres competències

Totes aquelles altres funcions previstes al Reial Decret 994/1999, d'11 de juny, pel qual s'aprova el reglament de mesures de seguretat dels fitxers automatitzats que contenen dades de caràcter personal.

2.2. Són funcions de la cap de la Unitat d'Informàtica com administradora de seguretat:

a) Coadjuvar al responsable de seguretat en el compliment de les mesures establertes per la legislació i aquesta resolució en allò que fa al vessant tècnic i informàtic.

b) Proposar-li les mesures tècniques necessàries per a garantir les mesures de seguretat que la legislació i aquesta resolució estableixen.

L'administradora de seguretat podrà delegar les seves tasques en altres persones de la seva Unitat, comunicant-t'ho expressament al vicegerent competent en sistemes informàtics. Aquesta circumstància haurà de constar en el Document de Seguretat del fitxer.

2.3 La Secretaria General de la Universitat exerceix les funcions següents en matèria de protecció de dades:

2.3.1. En l'àmbit general:

a) Exercir la interlocució amb l'Autoritat Catalana de Protecció de Dades.

b) Elaborar informes sobre el compliment en matèria de protecció de dades personals i proposar millores per al compliment de la legislació vigent.

c) Supervisar que les disposicions de caràcter general o resolucions en matèria de protecció de dades de la UPF s'adeqüin a la legislació vigent.

d) Ordenar la inscripció davant el registre de protecció de Dades de l'Autoritat Catalana de Protecció de Dades dels fitxers de dades personals de la UPF.

e) Elaborar els informes de cessió de dades personals amb consentiment de l'interessat.

f) Elaborar els informes de comunicació de dades en els casos previstos a l'article 21 de la LOPD quan tinguin per objecte estudis estadístics, històrics o científics.

2.3.2 Correspon a la Secretaria General per mitjà de l'Arxiu, en funció del nivell de seguretat de cada fitxer:

a) Establir els criteris d'arxiu que garanteixin la correcte conservació dels documents, la localització, consulta i generació de còpies de la informació, de manera que facilitin la tutela dels drets d'accés, rectificació, cancel·lació i oposició.

b) Proposar les mesures de seguretat adients per tal de protegir la informació amb dades de caràcter personal quan aquesta hagi d'ésser traslladada de forma física.

c) Proposar els mecanismes que permetin identificar i registrar els accessos realitzats a documentació amb dades especialment protegides.

d) Proposar les directrius necessàries per a garantir que la documentació que es troba fora de dispositius d'emmagatzematge compti amb les mesures de seguretat adients per tal d'evitar-ne l'accés a persones no autoritzades.

e) En matèria de Dispositius d'Emmagatzematge de la informació:

i) Proposar els mecanismes adients que no permetin l'obertura dels citats dispositius per tal d'evitar-ne l'accés a persones no autoritzades.

ii) Proposar les directrius necessàries per tal d'assegurar que els dispositius esmentats, quan allotgin dades especialment protegides, es trobin en àrees d'accés restringit mitjançant mecanismes de protecció.

3. Els caps de les unitats o serveis administratius que, per al compliment de les tasques encomanades a la seva unitat o servei, necessiten tractar dades de caràcter personal seran responsables interns dels fitxers en l'àmbit de la seva funció. Hauran de vetllar perquè el tractament s'ajusti a allò previst a la legislació així com assegurar-se de l'establiment i compliment de les disposicions de seguretat adients.

4. S'entendrà que són usuaris dels fitxers totes les persones que en l'exercici de les seves competències tractin dades de caràcter personal. Aquestes dades només podran ser tractades d'acord amb les competències de cada lloc de treball i d'acord amb les finalitats dels fitxers. Els usuaris dels fitxers hauran d'informar de qualsevol incidència als responsables interns dels fitxers i complir les mesures de seguretat adoptades d'acord amb el Document de Seguretat.

5. Totes les persones de la UPF que tinguin accés a dades de caràcter personal hauran d'observar les Funcions i Obligacions incloses en la normativa per la qual es regulen les mesures de seguretat i confidencialitat de les dades de caràcter personal de la UPF i la que la desenvolupi.

 

Article 5. Accés a les dades per tercers

1. Les dades personals contingudes als fitxers de la UPF són d'accés intern. El vicegerent competent en matèria de contractació ha de vetllar perquè en el cas que, conforme l'article 3 g) de la LOPD, hagin de ser tractades per un tercer, o tenir-hi accés per a la prestació d'un servei, s'hagi establert el corresponent contracte. En aquest s'han de fixar les condicions del tractament o accés i les mesures de seguretat a aplicar, d'acord amb el previst a l'article 12 del Reial Decret 1720/2007, de 21 de desembre, ja citat.

2. El vicegerent comunicarà per escrit, directament o per mitjà de la unitat administrativa que gestiona la contractació, als tercers encarregats del tractament les mesures de seguretat que s'han d'aplicar d'acord amb el reglament de seguretat.

 

Article 6. Document de Seguretat

1. El conjunt de mesures tècniques i organitzatives adreçades a protegir els sistemes d'informació es recolliran en el Document de Seguretat en compliment d'allò previst al Reial Decret 1720/2007, de 21 de desembre, ja citat. El Document de Seguretat podrà ser únic o no, amb els annexos corresponents.

2. El Document de Seguretat ha de reflectir la situació dels fitxers i ha d'estar permanentment actualitzat. Qualsevol canvi en les mesures de seguretat haurà de ser aprovat pel responsable del fitxers de la UPF.

3. Els responsables de seguretat i de l'administració de seguretat estaran a càrrec del manteniment del Document de Seguretat i dels seus annexes. Vetllaran perquè estigui sempre actualitzat i perquè només les persones autoritzades hi puguin accedir. Rebran les informacions dels responsables interns dels fitxers i informaran al responsable del fitxers de la UPF de qualsevol canvi. En el cas que un fitxer sigui gestionat per més d'un servei, el responsable intern del mateix serà el vicegerent competent en la matèria sobre la que versi el fitxer.

En el cas que un centre, un departament o un institut universitari de recerca necessiti tractar dades de caràcter personal, seran responsables interns dels fitxers els degans o directors respectius.

4. El Document de Seguretat es trobarà ubicat a la intranet de la UPF, a l'apartat Protecció de Dades Personals, accessible per a tot el personal, en concret a aquelles seccions i annexes que els correspongui segons el perfil assignat d'acord amb el desenvolupament de les seves tasques habituals.

5. El vicegerent competent en sistemes informàtics, com a part de la seva funció d'auditoria interna, té atribuïda la funció de control del compliment d'allò previst en el Document de Seguretat. A aquests efectes portarà a terme auditories periòdiques i vetllarà perquè es realitzin les que la legislació vigent disposa. Les deficiències detectades hauran de ser posades en coneixement de l'administrador de seguretat i dels responsables interns del tractament de les dades dels fitxers per tal que adoptin les mesures correctores adients.

 

Article 7. Exercici dels drets d'accés, rectificació, cancel·lació i oposició.

1. L'exercici dels drets d'accés, rectificació, cancel·lació i oposició s'exerceixen davant el gerent de la UPF com a responsable dels fitxers de dades de caràcter personal, d'acord amb la resolució sobre l'exercici d'aquests drets.

Els responsables interns dels fitxers han de facilitar la informació necessària per a l'exercici dels drets i han d'adoptar les mesures que se'ls indiqui per tal de satisfer la sol·licitud de l'interessat.

2. Les sol·licituds que no vagin adreçades al gerent li seran trameses amb caràcter immediat per tal que puguin ser ateses.

 

Article 8. Cessió i comunicació de dades

1. Les cessions de dades personals a tercers amb consentiment de l'interessat o les comunicacions de dades quan la sol·licitud sigui d'una administració amb igual competències i la comunicació tingui per objecte una finalitat estadística, històrica o científica requeriran l'informe favorable de la Secretaria General de la Universitat.

2. Les cessions o comunicacions de dades es faran d'acord amb el procediment aprovat.