PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL FORMACIÓN A USUARIOS DEL SISTEMA DE INFORMACIÓN DE LA UNIVERSIDAD DE ALMERÍA Almería, 17 de Noviembre de 2010

I.- ¿Qué es la protección de datos de carácter personal ? CONTENIDO-OBJETIVOS I.- ¿Qué es la protección de datos de carácter personal ? II.- Marco normativo III.- Conceptos básicos IV.- Conceptos básicos. Dato de carácter personal. V.-Obligaciones de la Universidad de Almería en cumplimiento de la LOPD y RDLOPD. VI. Ejercicio de derechos ARCO 2

I.-INTRODUCCIÓN. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL En la vida cotidiana es habitual que la persona vaya dejando una estela de datos de carácter personal en sus relaciones, de forma presencial o a distancia, con empresas, profesionales, asociaciones, fundaciones … y con la Administración Pública. Una persona facilita datos personales cuando abre una cuenta en el banco, cuando se matricula en un curso, cuando reserva un hotel o un vuelo, cuando busca trabajo, cuando presenta una instancia en la Administración Pública, cuando solicita un abono de transporte … siendo múltiples los rastros de datos que se dejan a menudo en todas estas gestiones.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL El Tribunal Constitucional, el Tribunal Europeo de Derechos Humanos y el Tribunal de Justicia de la Comunidad Europea han configurado el derecho constitucional o fundamental a la protección de datos de carácter personal, como un derecho específico, diferente a la intimidad. Su objeto es más amplio y alcanza a todos los datos personales, sean estos tratados por entidades públicas o privadas. La STC 292/2000 -fundamento jurídico séptimo-: <<… El derecho fundamental a la protección de datos, consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionar a un tercero, sea el estado o un particular, o cuáles puede este tercero recabar, permitiendo también al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esta posesión o uso …>>.

DISTINCIÓN DE CONCEPTOS: DERECHO A LA INTIMIDAD-PROTECCIÓN DE DATOS OBJETIVO COMÚN: proteger la vida privada DIFERENCIAS: A) ÁMBITO: La intimidad es más reducida que la vida privada. INTIMIDAD PROTECCIÓN DE DATOS Protege frente a invasiones en su vida privada o familiar. (ES REACTIVO) Garantiza a la persona un poder de control sobre sus datos personales, sobre su uso y destino, para impedir un tráfico ilícito y lesivo para la dignidad y derecho del afectado (ES PROACTIVO) Datos íntimos de la persona Cualesquiera datos personales, aunque no sean íntimos, y aunque sean – incluso - públicos .

DISTINCIÓN DE CONCEPTOS: DERECHO A LA INTIMIDAD-PROTECCIÓN DE DATOS B) CONTENIDO: La protección de datos impone obligaciones adicionales e instrumentos para que sea efectivo. La intimidad No INTIMIDAD PROTECCIÓN DE DATOS No Derecho a que se requiera el consentimiento para la recogida y uso de los datos Derecho a ser informado y saber el uso y destino de los datos Derecho a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos EN DEFINITIVA: PODER DE DISPOSICIÓN SOBRE SUS DATOS

II.- MARCO NORMATIVO. Artículo 18.4 de la Constitución Española. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal [LOPD]. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal [RDLOPD Ley 34/2002, de 11 de julio, de servicios de sociedad de la información y de comercio electrónico.

II.- MARCO NORMATIVO BÁSICO. Anteproyecto Ley de documentos, archivo y patrimonio documental de Andalucía. Decreto 914/1969 Sistema de Archivos de la Administración. Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español Real Decreto 1164/2002, de 8 de noviembre, por el que se regula la conservación del patrimonio documental con valor histórico, el control de la eliminación de otros documentos de la Administración General del Estado y sus organismos públicos y la conservación de documentos administrativos en soporte distinto al original.

ÁMBITO DE APLICACIÓN DE LA NORMATIVA No: Datos de personas jurídicas (sociedades mercantiles, asociaciones, fundaciones, cooperativas …) Sí : Datos de personas físicas o naturales tratados a nivel … No Automatizado (Papel o manual) Automatizado (Informático) 9

III.- CONCEPTOS BÁSICOS: ¿QUIÉN ES QUIÉN?. Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento = ESTUDIANTES, EMPLEADOS,PROVEEDORES, etc. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados: UNIVERSIDAD DE ALMERÍA Usuario: sujeto autorizado para acceder a datos o recursos (cualquier parte componente de un sistema de información ) Responsable de Seguridad: persona o personas a las que el Responsable del Fichero ha asignado, formalmente, la función de coordinar y controlar las medidas de seguridad aplicables.

DATO DE CARÁCTER PERSONAL TIPO DE INFORMACIÓN CONCERNIENTE A PERSONA FÍSICA O NATURAL SUSCEPTIBLE DE TRATAMIENTO NUMÉRICA: Automatizado EJ: Matrícula vehículo, DNI. SOPORTE FÍSICO CARACTERÍSTICAS No Automatizado -Físicas -Psíquicas -Fisiológicas -Económicas -Culturales -Sociales TRATAMIENTO ALFABÉTICA: Operaciones y procedimientos: Recogida Grabación Conservación Elaboración Modificación Bloqueo Cancelación Así como las cesiones de datos que resulten de : Comunicaciones Consultas Interconexiones Transferencias EJ: Nombre y Apellidos. FOTOGRÁFICA: EJ: Imágenes captadas por cámaras o vídeo, cámaras de video vigilancia. QUE PERMITAN DIRECTA O INDIRECTAMENTE IDENTIFICAR A LA PERSONA. SIN EMPLEAR MEDIOS O PLAZOS DESPROPORCIONADOS ACÚSTICA: EJ: Voz humana.

RESPONSABLES DE SEGURIDAD UNIVERSIDAD DE ALMERÍA - ÁNGELES PIEDRA (DEPARTAMENTO JURÍDICO) - DIEGO PÉREZ (STIC) -ALICIA GARCÍA (ARCHIVO Y DOCUMENTACIÓN)

IV. OBLIGACIONES DE LA UNIVERSIDAD DE ALMERÍA EN CUMPLIMIENTO DE LA LOPD Y RDLOPD. a.- Notificación e inscripción de ficheros en el Registro General de protección de Datos (RGPD). e.- Cumplimiento del deber de información del interesado y, en su caso, la obtención del consentimiento para el tratamiento de su información de carácter personal. i.- Formalización de contratos de acceso a datos por cuenta de terceros y contratos de prestación de servicios sin acceso a datos por terceros. o.- Elaboración del Documento de seguridad e implantación de medidas de seguridad de carácter técnico y organizativo en el sistema de información. u.- Formación del personal: usuarios y responsables de seguridad.

A).- Notificación e inscripción de ficheros. Concepto: Es obligación del Responsable del Fichero [UNIVERSIDAD DE ALMERÍA], notificar e inscribir los ficheros [automatizados y/o no automatizados] creados para el tratamiento de datos de carácter personal ante el REGISTRO GENERAL DE PROTECCIÓN DE DATOS, así como comunicar las modificaciones o cancelaciones, respecto a los mismos. Efectos de la Notificación e Inscripción: La inscripción de ficheros es relevante, puesto que con esto se cumple con la obligación primordial. Pero, no con esto sólo, se está en cumplimiento de la normativa (artículo 60.3 RDLOPD). Es la única información en relación a la protección de datos, de la cual tendrá constancia la Agencia Española de Protección de Datos De este modo, el interesado o afectado podrá satisfacer el DERECHO DE CONSULTA del Registro General de Protección de Datos, de carácter público y gratuito, a fin de saber información relativa al fichero donde estén siendo tratados sus datos personales (artículo 14 LOPD). Facilita al ciudadano el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación u Oposición).

A).- Notificación e inscripción de ficheros.

Ficheros lógicos concebidos en el proyecto de revisión. - Fichero ARCHIVO GENERAL - Fichero TÍTULOS OFICIALES - Fichero SERVICIO DE CERTIFICACIÓN ELECTRÓNICA - Fichero CLAUSTRO UNIVERSITARIO - Fichero CONSEJO DE GOBIERNO - Fichero CONVENIOS - Fichero DEFENSOR UNIVERSITARIO - Fichero ORDENACIÓN Y PLANIFICACIÓN ACADÉMICA - Fichero SPOA. SERVICIO DE PLANIFICACIÓN Y ORGANIZACIÓN ADMINISTRATIVA - Fichero ACCESO Y ADMISIONES ESTUDIANTES - Fichero EDITORIAL UNIVERSITARIA - Fichero GABINETE JURÍDICO - Fichero GESTIÓN DE RECURSOS HUMANOS - Fichero CONTRATACIÓN - Fichero CONTROL DE ACCESOS - Fichero SERVICIO DE PREVENCIÓN - Fichero BIBLIOTECA - Fichero RELACIONES INTERNACIONALES - Fichero EXTENSIÓN UNIVERSITARIA - Fichero BECAS Y AYUDAS …..

Notas importantes…. MODIFICACIÓN DE FICHEROS CREACIÓN O ALTA DE NUEVOS FICHEROS Deberá considerar el alta de nuevos ficheros, cuando se halle en supuestos donde el tratamiento de datos personales, no puede integrarse en aquellos notificados e inscritos en la Agencia Española de Protección de Datos [AEPD]. MODIFICACIÓN DE FICHEROS No ha de entenderse cuando se suscite un cambio en los datos personales de un individuo [esto es, introduzcamos, modifiquemos o eliminemos información de carácter personal de una/s persona/s] Las modificaciones comprenden cambios en uno o varios aspectos del fichero notificado: Dirección del Responsable de Fichero Finalidad y uso de los datos Tipología de datos objeto de tratamiento Nivel de Seguridad Origen y procedencia de los datos Cesiones o comunicaciones de datos CANCELACIÓN DE FICHEROS La cancelación de ficheros no es muy habitual, salvo supuestos excepcionales, ejemplos: Cuando los datos personales tratados en un fichero, dejan de ser útiles y pertinentes. Cuando se disuelva la sociedad En todo caso, si hubiera una obligación legal que obligue a la conservación de los datos durante un período de tiempo, se deberá ‘BLOQUEAR’ este fichero, con las medidas de seguridad pertinentes.

E).- El deber de información y/o consentimiento en la recogida de datos. ¿Qué es? Realmente, nace de un derecho del interesado, por el cual debe ser informado sobre dónde irán los datos aportados, para qué serán utilizados, a quienes se cederán … [autodeterminación informativa]. Esto se convierte en una obligación o deber para el Responsable del Fichero. Así, en cualesquiera recogida de datos efectuada, mediante formularios o cuestionarios, en papel y/o electrónicos, debiera proporcionarse al interesado la información preceptiva = CLAUSULAS. ¿De qué debe informarse? De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del Responsable del Tratamiento.

Praxis cumplimiento del deber de información. Artículo 5.2 LOPD << >> Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias antes mencionadas Se han redactado cláusulas informativas a introducir con el fin de cumplir con este derecho, en diferentes documentos: MATRICULACIONES VIDEO VIGILANCIA CLÁUSULA CURRICULUMS CLÁUSULA E MAIL CLÁUSULA EMPLEADOS …..

Recabar el consentimiento del interesado para tratar determinados datos: En cuanto se hayan de recoger y tratar datos sensibles (ejemplo, salud, religión, ideología) se ha de recabar el consentimiento expreso del interesado. Para esto, el formulario o cuestionario, además de ser informado al respecto (“autoriza expresamente”), deberá ser firmado. En los electrónicos (Web) sólo será válido si firma electrónicamente con certificado digital reconocido. Cesiones o comunicaciones de datos: Cerciorarse de que las cesiones o comunicaciones de datos a terceros, están consentidas por el interesado y/o existe una habilitación legal. Notas importantes….

I).- Formalización de contratos de acceso a datos y prohibición de acceso A).- CON ACCESO A DATOS.- Si como consecuencia de la prestación de un servicio un tercero accede a los datos titularidad del Responsable del Fichero o Tratamiento deberá suscribirse un contrato de acceso a datos por cuenta de terceros entre el Responsable del Fichero o del Tratamiento y el tercero prestador del servicio (Encargado del Tratamiento). B).- SERVICIOS SIN ACCESO A DATOS.- LA UNIVERSIDAD DE ALMERIA adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.

a).- Prestaciones de servicios con acceso a datos. A) CON ACCESO A DATOS.- Si como consecuencia de la prestación de un servicio un tercero accede a los datos titularidad del Responsable del Fichero o Tratamiento deberá suscribirse un contrato de acceso a datos por cuenta de terceros entre el Responsable del Fichero o del Tratamiento y el tercero prestador del servicio (Encargado del Tratamiento). ENCARGADO DE TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento y accede a los datos de carácter personal del responsable del tratamiento. Ejemplos: Asesorías y/o gestoría laborales / contables / fiscales. Empresas de mantenimiento informático software y/o hardware Firmar = CONTRATO DE ACCESO A DATOS POR TERCEROS. (Artículo 12 LOPD)

a).- Prestaciones de servicios con acceso a datos. a) Firma del Contrato En estos supuestos, la normativa obliga a que se firme un contrato entre el Responsable de Fichero o Tratamiento y el Encargado de Tratamiento [Tercero, prestador del servicio]. No obstante, para la formalización, puede optarse por las siguientes alternativas: Contrato ad hoc, de acceso a datos por terceros. Inclusión de una cláusula o estipulación en el contrato de prestación de servicios, que recoja los extremos preceptivos. O se incluya en un anexo [adenda] al citado contrato de prestación de servicios.

a).- Prestaciones de servicios con acceso a datos. b) Contenido mínimo del Contrato (art 12 LOPD). Sujeción al Responsable de Fichero = Se deberá establecer “que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable Finalidad y Uso del acceso o tratamiento = También se hará constar “que (el encargado) no los aplicará o utilizará con un fin distinto al que figure en dicho contrato”. Cesión o comunicación de datos = Asimismo hay que hacer constar que el encargado “no los comunicará, ni siquiera para su conservación, a otras personas”. Adopción de medidas de seguridad = De igual forma el precepto obliga a que “en el contrato se estipulen las medidas de seguridad exigidas por esta normativa que el encargado del tratamiento está obligado a implementar”. Deber de devolución y/o destrucción = “una vez cumplida la prestación contractual, los datos de Carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. Responsabilidad = “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

b).- Prestaciones de servicios sin acceso a datos. El Responsable del Fichero adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. Ejemplos EMPRESA DE LIMPIEZA. EMPRESA DE MANTENIMIENTO INSTALACIONES

O). - Elaboración Documento de Seguridad O).- Elaboración Documento de Seguridad. Adopción de medidas técnicas y organizativas. La normativa recoge el principio de seguridad de los datos en los siguientes términos: El Responsable del Fichero, y, en su caso, el Encargado del Tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Las medidas se recogerán en el denominado Documento de Seguridad, cuyo contenido mínimo se prevé en el Real Decreto 1720/2007 [RDLOPD].

U).- Formación. Funciones y obligaciones del personal Principal obligación GUARDAR el necesario SECRETO respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la Universidad.

FICHEROS INFORMÁTICOS En particular, respecto a la información de carácter personal contenida en ficheros informáticos, deberá cumplir, en consonancia con lo expuesto en anteriores apartados, las siguientes diligencias: Claves de acceso al sistema informático.- Las contraseñas de acceso al sistema informático son personales e intransferibles, siendo el Usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida. Queda prohibido, asimismo, emplear identificadores y contraseñas de otros Usuarios para acceder al sistema informático. En caso de que fuera necesario acceder al sistema, en ausencia de un compañero, se solicitará al área de informática para que se habilite el acceso eventual. Una vez finalizada la/s tarea/s que motivaron el acceso, deberá ser comunicado, de nuevo, al Responsable de Informática. Bloqueo o apagado del equipo informático.- Bloquear la sesión del Usuario en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos de otras personas al equipo informático. Esto, sobre todo, deberá tenerse en cuenta, por parte del personal que esté en atención al público.

Almacenamiento de archivos o ficheros en la red informática Almacenamiento de archivos o ficheros en la red informática.- Guardar todos los ficheros de carácter personal empleados por el Usuario, en el espacio de la red informática habilitado por la Universidad, a fin de facilitar la realización de las copias de seguridad o respaldo y proteger el acceso frente a personas no autorizadas. Manipulación de los archivos o ficheros informáticos.- Únicamente las personas autorizadas, podrán introducir, modificar o anular los datos personales contenidos en los ficheros. Los permisos de acceso de los Usuarios a los diferentes ficheros serán concedidos por el Responsable. En el caso de que cualquier Usuario requiera, para el desarrollo de su trabajo, acceder a ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del citado Responsable. Generación de ficheros de carácter temporal.- Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados a partir de un fichero general para el desarrollo o cumplimiento de una tarea/s determinada/s. Estos ficheros deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación, y mientras estén vigentes, deberán ser almacenados en la carpeta habilitada en la red informática. Si transcurrido un mes el Usuario detecta la necesidad de continuar utilizando la información almacenada en el fichero, deberá comunicárselo al Responsable de Informática, para adoptar las medidas oportunas sobre el mismo.

No uso del correo electrónico u otros medios telemáticos para envíos de información de carácter personal sensible.- No utilizar el correo electrónico (corporativo o no) para el envío de información de carácter personal especialmente sensible (esto es, salud, ideología, religión, creencias, origen racial o étnico). Este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros. Comunicación de incidencias que afecten a la seguridad de datos de carácter personal.- Comunicar al Responsable de Seguridad las incidencias de las que tenga conocimiento, que puedan afectar a la seguridad de los datos personales.

En relación con los ficheros en soporte o documento papel, el Usuario deberá cumplir con las siguientes diligencias: Custodia de llaves de acceso a archivadores o dependencias.- Mantener debidamente custodiadas las llaves de acceso a los locales o dependencias, despachos, así como a los armarios, archivadores u otros elementos que contenga soportes o documentos en papel con datos de carácter personal. Cierre de despachos o dependencias.- En caso de disponer de un despacho, cerrar con llave la puerta, al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados. Almacenamiento de soportes o documentos en papel.- Guardar todos los soportes o documentos que contengan información de carácter personal en un lugar seguro, cuando éstos no sean usados, particularmente, fuera de la jornada laboral. Cuando estos soportes o documentos, no se encuentren almacenados, por estar siendo revisados o tramitados, será la persona que se encuentre a su cargo la que deba custodiar e impedir, en todo momento, que un tercero no autorizado pueda tener acceso. FICHEROS EN PAPEL

Archivo de soportes o documentos Archivo de soportes o documentos.- Los soportes o documentos en papel deberán ser almacenados siguiendo el criterio de archivo de la Universidad. Dichos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información. Los soportes o documentos se archivarán en el lugar correspondiente, de modo que permitan una buena conservación, clasificación, acceso y uso de los mismos. Traslado de soportes o documentos en papel con datos de carácter personal.- En los procesos de traslado de soportes o documentos deberán adoptarse medidas dirigidas para impedir el acceso o manipulación por terceros y, de manera que, no pueda verse el contenido, sobre todo, si hubieren datos de carácter personal. Traslado de dependencias.- En caso de cambiar de dependencia, en el proceso de traslado de los soportes o documentos en papel, se deberá realizar con el debido orden. Asimismo, se procurará mantener fuera del alcance de la vista de cualquier persona de la Universidad , aquellos documentos o soportes en papel donde consten datos de carácter personal.

No dejar en fotocopiadoras, faxes o impresoras papeles con datos de carácter personal.- Asegurarse de que no quedan documentos impresos que contengan datos personales, en la bandeja de salida de la fotocopiadora, impresora o faxes. Documentos no visibles en los escritorios, mostradores u otro mobiliario.- Se deberá mantener la confidencialidad de los datos personales que consten en los documentos depositados o almacenados en los escritorios, mostradores u otro mobiliario. Desechado y destrucción de soportes o documentos en papel con datos personales.- No tirar soportes o documentos en papel, donde se contengan datos personales, a papeleras o contenedores, de modo que pueda ser legible o fácilmente recuperable la información. A estos efectos, deberá ser siempre desechada o destruida mediante destructora de papel. Se prohíbe terminantemente echar en papeleras, contenedores de cartón o papel, soportes o documentos, donde se contengan datos personales.

PUEDEN ESTAR DESPUÉS AL ALCANCE DE OTROS … “Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.” PUEDEN ESTAR DESPUÉS AL ALCANCE DE OTROS … NO TIREMOS SOPORTES O DOCUMENTOS CON DATOS PERSONALES A LOS CONTENEDORES O ESPACIOS ...

Envío de datos personales sensibles en sobre cerrado Envío de datos personales sensibles en sobre cerrado.- Si se envían a terceros ajenos a la Universidad , datos especialmente sensibles (esto es, salud, ideología, religión, creencias, origen racial o étnico) contenidos en soporte o documento papel, se debe realizar, en sobre cerrado y, en cualquier caso, tener presente que haya de efectuarse por medio de correo certificado o a través de una forma de correo ordinario que permita su completa confidencialidad. Comunicación de incidencias que afecten a la seguridad de datos de carácter personal.- Comunicar las incidencias de las que tenga conocimiento y que puedan afectar a la seguridad de los datos personales.

COMUNICACIÓN DE INCIDENCIAS Ficheros informáticos Pérdida [NO OLVIDO] de contraseñas de acceso a los sistemas de información. Uso indebido de contraseñas. Pérdida de soportes informáticos con datos de carácter personal. Pérdida de datos por mal uso de las aplicaciones. Ataques a la red. Infección de los sistemas de información por virus u otros elementos dañinos. Fallo o caída de los Sistemas de Información, etc. Ficheros en papel, Pérdida de las llaves de acceso a los archivos, armarios y/o dependencias, donde se almacena la información de carácter personal. Acceso no autorizado de usuarios a los archivos, armarios y/o dependencias, donde se encuentran ficheros con datos de carácter personal. Pérdida de soportes o documentos en papel, con datos de carácter personal. Deterioro de los soportes o documentos, armarios o archivos, donde se encuentran datos de carácter personal.

VII. EJERCICIO DE DERECHOS ARCO POR LOS INTERESADOS. A).-Praxis solicitud o petición ejercicios derechos ARCO. Aspectos comunes Los derechos ARCO tienen carácter personalísimo. Deben ser ejercidos por: El propio interesado. Por el representante legal, cuando el interesado sea un menor de edad (a estos efectos, menor de 14 años) o el titular se encuentre en situación de incapacidad. A través de un representante voluntario, expresamente designado para el ejercicio del derecho. Los Derechos ARCO son derechos independientes. No puede entenderse que el ejercicio de uno de ellos sea requisito previo para el ejercicio de otro (artículo 24 RDLOPD).

¿A QUE INFORMACIÓN TIENE DERECHO A ACCEDER EL AFECTADO?: VII. EJERCICIO DE DERECHOS ARCO POR LOS INTERESADOS. B).-Derecho de acceso ¿A QUE INFORMACIÓN TIENE DERECHO A ACCEDER EL AFECTADO?: DATOS DEL AFECTADO; ORIGEN DE LOS DATOS; COMUNICACIONES REALIZADAS O QUE SE PRETENDEN REALIZAR, IDENTIFICANDO A LOS CESIONARIOS; USOS CONCRETOS Y FINALIDADES. Quiero saber qué datos míos tiene la Universidad… PLAZO La Universidad de Almería DEBERÁ ATENDER LA SOLICITUD: MÁXIMO PLAZO DE 1 MES DESDE LA RECEPCIÓN DE LA SOLICITUD. EN CASO DE ESTIMARSE PROCEDENTE, PERMITIR EL ACCESO, 10 DÍAS HÁBILES. ATENCIÓN Obligatoriedad: El Responsable del fichero está obligado a responder incluso cuando no trate datos personales de quien ejercite el derecho.

C).-Derecho de rectificación ¿CUÁNDO PROCEDE EJERCER ESTE DERECHO? CUANDO LOS DATOS SEAN INEXACTOS, INCOMPLETOS, INADECUADOS O EXCESIVOS Ejemplo: “Me llamo Ester, y en el carnet universitario de la Universidad, mi nombre no figura bien escrito”. ¡Quiero modificar mis datos! La Universidad DISPONE DE UN MÁXIMO DE 10 DÍAS HÁBILES DESDE LA RECEPCIÓN DE LA SOLICITUD. PLAZO Cesión previa de los datos La Universidad deberá comunicar al cesionario, en el plazo de 10 días hábiles, la rectificación llevada a cabo para que éste, a su vez, realice la rectificación pertinente. ATENCIÓN

D).-Derecho de cancelación ¡Quiero que no traten mis datos! ¿CUÁNDO PROCEDE EJERCER ESTE DERECHO? CUANDO EXISTA LA VOLUNTAD POR PARTE DEL INTERESADO , DE QUE NO SE TRATEN SUS DATOS. La UNIVERSIDAD DISPONE DE UN MÁXIMO DE 10 DÍAS HÁBILES DESDE LA RECEPCIÓN DE LA SOLICITUD. PLAZO ATENCIÓN Cesión previa de los datos El Pilar deberá comunicar al cesionario, en el plazo de 10 días hábiles, la cancelación llevada a cabo para que éste, a su vez, realice la cancelación pertinente. EXCEPCIONES -Cuando exista una obligación de conservar los datos. -Cuando la cancelación no sea posible por razones técnicas. ATENCIÓN La cancelación de datos no siempre supone la eliminación de los mismos. En muchos casos supondrá su BLOQUEO.

E).-Derecho de oposición. ¿CUÁNDO PROCEDE EJERCER ESTE DERECHO? 1-Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial 2-Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique siempre que una Ley no disponga lo contrario. ¡NO quiero que me envíen publicidad! LA UNIVERSIDAD DISPONE DE UN MÁXIMO DE 10 DÍAS HÁBILES DESDE LA RECEPCIÓN DE LA SOLICITUD. PLAZO

F).-Cómo se debe presentar la solicitud MODELO DE PETICIÓN DE EJERCICIO DEL DERECHO O SU PROPIO ESCRITO. - ¿QUÉ DEBEMOS CONTROLAR?: Cuando se solicita el acceso, rectificación o cancelación de los datos de carácter personal, siempre ha de acompañar a este escrito la fotocopia del DNI/NIE u documento equivalente. Y si actúan bajo Representante (Legal o voluntario) que aporte, además de la fotocopia del DNI/NIE, documento/s que acrediten la condición. Dirección a afectos de notificaciones, fecha y firma. Petición concreta de la solicitud. Documentos que justifiquen, prueben la petición, si es el caso.

G).-Máxima diligencia: prioridad de atención y resolución. Por teléfono nunca facilitaremos datos personales. En cumplimiento de la Ley de Protección de Datos invitaremos siempre a qué presenten la solicitud por escrito. El escrito puede ser propio (el que aporte el interesado) o utilizar el modelo de escrito de petición del ejercicio de derecho que corresponda. Se ha de enviar a uno de los tres responsables de seguridad: de forma diligente. Señalando la importancia del tema. Los responsables de seguridad no descuidarse en remitir la obligatoria contestación al afectado dentro de los plazos legales previstos. EL TIEMPO ES IMPORTANTE, NO PUEDEN PASARSE LOS PLAZOS LEGALES PARA RESPONDER.

- Comunicar las incidencias a los Responsables de Seguridad. RESUMEN DE LAS TAREAS PRINCIPALES - Notificar a los Responsables de Seguridad (Informática y/o Papel) la creación, modificación o supresión de ficheros. . - Supervisar que los procesos de recogida de datos de carácter personal recogen el texto informativo en protección de datos. - Controlar el archivo y almacenamiento de la información de carácter personal, en la red informática y en los archivadores, tratando que se adopten las oportunas MEDIDAS DE SEGURIDAD. - Comunicar las incidencias a los Responsables de Seguridad. - Canalizar el ejercicio de derechos ARCO. - Dudas o cuestiones que se susciten en este ámbito, remitir a los Responsables de Seguridad – es importante la comunicación.

EN CUMPLIMIENTO DE LA NORMATIVA … En LA UNIVERSIDAD DE ALMERÍA llevamos tiempo trabajando en la adecuación a la normativa de protección de datos de carácter personal, con los constantes cambios que ésta va sufriendo: Hemos inscrito los ficheros en la AEPD (a) Hemos incorporado cláusulas informativas en diferentes procedimientos de recogida de información (e) Hemos incorporado cláusulas en los contratos con prestadores de servicios con acceso y sin acceso a datos (i) Disponemos de medidas técnicas y organizativas definidas y plasmadas en un documento de seguridad actualizado mediante un software de gestión LOPD (o) Impartición formación y continuaremos con la concienciación… (u)

¡¡ES CUESTIÓN DE TODOS, QUIENES FORMAN PARTE DE LA UNIVERSIDAD !!! El cumplimiento de esta legislación es trasversal, afecta a todas las áreas y NO DEPENDE SÓLO Y EXCLUSIVAMENTE DE UN DEPARTAMENTO. AFECTA A TODA LA UNIVERSIDAD. ¡¡ES CUESTIÓN DE TODOS, QUIENES FORMAN PARTE DE LA UNIVERSIDAD !!! Se continuará adecuando la Universidad a la normativa…