III Jornada de Protección de datos en las Universidades Públicas de la Comunidad de Madrid Universidad Politécnica de Madrid Alfonso Herranz Teruel Jefe del Servicio de Planificación de Sistemas de Información

2 Servicios de Informática Vicerrectorado de Nuevas Tecnologías y Servicios en Red Servicio de Planificación Informática y Comunicaciones Servicio de Planificación de Sistemas de Información ? Unidad Administrativa para LOPD

3 ¿Qué se ha hecho en materia de protección de datos? Asesorarse con especialistas externos Declarar los ficheros Dar de baja los ficheros antiguos Elaborar los Documentos de Seguridad Sesiones informativas Colgar en la web las obligaciones del personal con respecto a los datos de carácter personal Leyenda informativa en los formularios de recogidas de datos

4 Asesoramiento externo 1.Comisión de Seguimiento y Coordinación de la UPM y la Agencia de Protección de Datos de la Comunidad de Madrid 2.Grupo de Investigación de Seguridad de los Sistemas y Tecnologías de la Información de la Universidad Carlos III de Madrid Labores Acciones formativas especificas para el personal de la Universidad Consultoría y Asesoría Soporte en la declaración de ficheros Soporte en la elaboración de los Documentos de Seguridad

5 Ficheros Declarados I Nivel Básico Asociaciones Bibliotecas Correo – Alumnos Correo – Personal Control horario Claustro COIE Gestión – Económica Deportes Tesis OTT Títulos Biosec

6 Gestión Administrativa de Personal Gestión académica Ficheros Declarados II Nivel Medio

7 Becas Concursos y Oposiciones Acción Social Nóminas Ficheros Declarados III Nivel Alto

8 Baja de ficheros antiguos AlumnosSus datos se incorporan al fichero Gestión - Académica PersonalSus datos se incorporan al fichero Gestión administrativa de Personal

9 Documentos de Seguridad

10 Documentos de Seguridad

11 Documentos de Seguridad

12 Sesiones Informativas En el salón de actos del Rectorado Invitación a todos los Centros Contenido –Obligación de declarar los ficheros –Tipos de ficheros –Medidas de seguridad –Obligaciones del personal que trata con datos personales

13 FUNCIONES Y OBLIGACIONES DE LOS USUARIOS CON RESPECTO A LOS DATOS DE CARÁCTER PERSONAL La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, desarrolla el mandato constitucional contenido en el artículo 18.4 de nuestra Constitución estableciendo un conjunto de medidas para proteger los datos personales en lo que concierne a su tratamiento. Posteriormente La ley 8/2001, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, complementa algunos aspectos de la Ley Orgánica antes citada en el ámbito competencial de nuestra Comunidad. En particular, esta última Ley establece en su Capitulo III las responsabilidades sobre ficheros de datos de carácter personal y su uso por parte de todos cuantos intervengan en su tratamiento. Así, prescribe que quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal vienen obligados al cumplimiento de las medidas de seguridad establecidas, estando sujetos (Artículo 11) al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Así mismo, la Ley Orgánica 10/1955, del Código Penal, penaliza el descubrimiento y revelación de secretos (articulo 197), en particular aquellos que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, previendo un agravamiento de las penas si el descubrimiento o revelación se refieren a datos personales que identifican Ia ideología, religión, creencias, salud, origen racial o vida sexual, o la victima fuere un menor de edad o un incapaz. El mismo Código Penal (articulo 198), endurece las penas previstas en el artículo anterior (aplicándolas en su mitad superior) si, prevaliéndose de su cargo, los hechos son realizados por una autoridad o funcionario publico, añadiéndose además la inhabilitación absoluta por tiempo de seis a doce años. Finalmente, la Ley 7/2007, del Estatuto Básico del Empleado Público, establece (artículo 53.12), que los empleados públicos guardarán secreto de las materias clasificadas u otras cuya difusión esté prohibida legalmente[1], y mantendrán la debida discreción sobre aquellos asuntos que conozcan por razón de su cargo, sin que puedan hacer uso de la información obtenida para beneficio propio o de terceros, o en perjuicio del interés público. [ 1] Como es el caso de los datos de carácter personal.[1] [ 1]

14 Derecho de información en la recogida de datos Articulo 5 de la LOPD 1.Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a)De la existencia del fichero, de la finalidad y de los destinatarios de la información b)Del carácter obligatorio de su respuesta a las preguntas planteadas c)De las consecuencias de la obtención de los datos o de la negativa a suministrarlos d)De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición e)De la identidad y dirección del responsable del tratamiento 2.En los formularios de recogida de datos figurarán las advertencias a que se refiere el apartado anterior 3.Sin embargo, no será necesaria las advertencias b), c) y d) si se deducen claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en las que se recaban

15 Derecho de información en la recogida de datos Articulo 5 de la LOPD 4.Si los datos no han sido recabados del interesado  Informarle dentro de los tres meses siguientes 5.Sin embargo, no se aplicará el apartado anterior cuando :  Expresamente una ley lo prevea  Cuando el tratamiento tenga fines históricos, estadísticos o científicos  Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados  Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial  En cada comunicación que se le dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento

Leyenda informativa Recogida de datos del alumno en los sobres de matrícula: Los datos personales recogidos en el proceso de matrícula serán incorporados y tratados en el fichero “Gestión - Académica”, cuya finalidad es el soporte de procesos de gestión académica, información académica, historial del alumno, matriculación de los alumnos, etc. y podrán ser cedidos al Consejo de Coordinación Universitaria, Fundaciones, otras Universidades y Entidades Financieras con las que trabaja la Universidad, además de otras cesiones previstas en la ley. El Órgano responsable del fichero es la Secretaría General de la Universidad Politécnica de Madrid, Avda. Ramiro de Maeztu, 7 – Madrid y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es la Secretaría de Alumnos de cada uno de los Centros, todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Leyenda informativa Recogida del teléfono móvil del alumno: Los números de teléfono recogidos serán incorporados y tratados en el fichero de “Gestión - Académica”, cuya finalidad es el soporte de procesos de gestión académica, información académica, historial del alumno, matriculación de los alumnos, etc. Se utilizarán para comunicar al alumno las notas provisionales de sus asignaturas y no podrán ser cedidos. El órgano responsable del fichero es la Secretaría General, y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es Avda. Ramiro de Maeztu 7, Madrid, todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Leyenda informativa Recogida de datos del profesorado: Los datos personales recogidos serán incorporados y tratados en el fichero de "Gestión Administrativa de Personal", cuya finalidad es el soporte de procesos de gestión de personal docente y de administración y servicios y no podrán ser cedidos, salvo cesiones previstas en la Ley. El órgano responsable del fichero es la Secretaría General, y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es Avda. Ramiro de Maeztu 7, Madrid, todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

19 ¿Qué se esta haciendo actualmente? Modificación y declaración de nuevos ficheros Auditoria externa bienal Creando una unidad administrativa para protección de datos

20 Modificación y declaración de ficheros Modificación de Finalidad Modificación del órgano ante el que se pueden ejercer los derechos de acceso, rectificación, cancelación y oposición Declaración del fichero de correo

21 Auditoria externa bienal A cargo del Grupo de Investigación de Seguridad de los Sistemas y Tecnologías de la Información del Departamento de Informática de la Universidad Carlos III de Madrid Se ha auditado el fichero de Acción Social En proceso con el resto

22 Unidad Administrativa para la LOPD Funciones: Asesorar a Centros y Departamentos Informar al colectivo universitario Difundir la normativa y los criterios de interpretación Coordinar la declaración de ficheros y su seguimiento Establecer normas de seguridad Velar por el cumplimiento de las medias de Seguridad Ser el portavoz con la APDCM Relacionarse con otros organismos en materia de protección de datos

Gracias por su atención Alfonso Herranz Teruel Servicios de Informática Universidad Politécnica de Madrid Telf