Reglamento de la UPV/EHU de Protección de Datos de Carácter Personal

RESOLUCIÓN DE 4 DE SEPTIEMBRE DE 2008 DEL SECRETARIO GENERAL DE LA UNIVERSIDAD DEL PAÍS VASCO / EUSKAL HERRIKO UNIBERTSITATEA POR LA QUE SE ORDENA LA PUBLICACIÓN EN EL BOLETÍN OFICIAL DEL PAÍS VASCO DEL REGLAMENTO DE LA UPV/EHU DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

El artículo 12.2 de los Estatutos de la UPV/EHU establece que la recogida tratamiento derechos de acceso y rectificación y cesión de datos de carácter personal contenidos en los archivos de la UPV/EHU se efectuará de acuerdo con lo establecido en la legislación relativa al tratamiento automatizado de los datos de carácter personal.

Para ello y según el procedimiento de desarrollo normativo regulado en el Reglamento de Funcionamiento del Consejo de Gobierno en su sesión de 10 de abril de 2008 este órgano aprobó el Reglamento de la UPV/EHU de Protección de Datos de Carácter Personal en los términos recogidos en el anexo.

Por último el artículo 10.2 de la Ley 3/2004 de 25 de febrero del Sistema Universitario Vasco dispone que las normas de organización y funcionamiento de la Universidad serán publicadas en el Boletín Oficial del País Vasco y no entrarán en vigor hasta la íntegra publicación de sus textos.

Por todo ello

RESUELVO:

Primero. Ordenar la publicación en el Boletín Oficial del País Vasco del Reglamento de la UPV/EHU de Protección de Datos de Carácter Personal en los términos recogidos en el anexo.

Segundo. Este Reglamento entrará en vigor el 1 de octubre de 2008.

Tercero. Contra este acuerdo que agota la vía administrativa se podrá interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia del País Vasco en el plazo de dos meses a partir de su publicación.

REGLAMENTO DE LA UPV/EHU PARA LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

EXPOSICIÓN DE MOTIVOS

En los Centros Departamentos e Institutos Universitarios de Investigación de la UPV/EHU así como en el Rectorado y Vicerrectorados y demás entes y servicios de la Universidad se trata diariamente con datos de carácter personal. Estos datos pertenecen principalmente al alumnado al personal docente e investigador y al personal de administración y servicios pero también corresponden a personas ajenas a la Universidad como representantes de otras instituciones trabajadores y trabajadoras de empresas subcontratadas y particulares objeto de investigaciones científicas.

Tal necesidad de la UPV/EHU de valerse de datos de personas que se relacionan con la misma y a su vez el fortalecimiento experimentado en los últimos años por la regulación relativa a la defensa de datos de carácter personal hacen necesario idear los mecanismos necesarios para lograr un equilibrio entre la confidencialidad de los datos de carácter personal y el hecho de que la UPV/EHU como universidad pública pueda llevar a cabo las funciones que le son propias.

Por todo ello se ha considerado conveniente aprobar este Reglamento el cual además de contribuir a que la UPV/EHU cumpla con sus obligaciones en el ámbito de la protección de datos de carácter personal aspira a convertirse en referente para el personal de la misma que trate con datos de carácter personal.

TÍTULO I

DISPOSICIONES GENERALES

Artículo 1. Objeto.

En el marco del respeto de lo establecido en la legislación relativa a la protección de datos de carácter personal y sus disposiciones de desarrollo el presente Reglamento tiene como objeto regular el tratamiento de los datos de carácter personal en manos de la UPV/EHU protegiendo en todo caso el honor e intimidad de las personas titulares de dichos datos y garantizando al mismo tiempo el cumplimiento por parte de la Universidad de las funciones que le son propias en su calidad de entidad dedicada al servicio público de la educación superior mediante la docencia la investigación y el estudio.

Artículo 2. Ámbito de aplicación.

Este Reglamento será de aplicación en la UPV/EHU a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de esos datos.

Artículo 3. Escenario legal.

3.1. La normativa básica que la UPV/EHU debe respetar en el ámbito de la protección de datos de carácter personal es la siguiente:

a) Directiva 95/46/CE de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

b) Artículo 18.4 de la Constitución española.

c) Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (en adelante LOPD).

d) Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de 13 de diciembre de Protección de Datos de Carácter Personal (en adelante RDLOPD).

e) Ley 2/2004 de 25 de febrero de Ficheros de datos de Carácter Personal de Titularidad pública y de Creación de la Agencia Vasca de Protección de Datos.

f) Decreto 308/2005 de 18 de octubre por el que se desarrolla la Ley 2/2004 de 25 de febrero de Ficheros de Datos de Carácter Personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos.

3.2. En el caso de que se produzcan cambios normativos las referencias realizadas en este Reglamento a las disposiciones vigentes a su entrada en vigor serán consideradas realizadas a las que las sustituyan. Asimismo este Reglamento será periódicamente actualizado en función de los nuevos requisitos normativos que puedan ser exigidos. La versión actualizada del Reglamento estará disponible en la página web de la Universidad (www.ehu.es/babestu).

Artículo 4. Definiciones.

4.1. A la luz del presente Reglamento se entenderán de la siguiente manera los conceptos básicos en materia de protección de datos de carácter personal indicados a continuación:

a) Datos de carácter personal: cualquier información numérica alfabética gráfica fotográfica acústica o del cualquier otro tipo concerniente a personas físicas identificadas o identificables.

b) Persona identificable: toda persona cuya identidad pueda determinarse directa o indirectamente mediante cualquier información referida a su identidad física fisiológica psíquica económica cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

c) Datos especialmente protegidos: datos que se refieren a ideología religión creencias afiliación sindical origen racial salud vida sexual o infracciones penales o administrativas.

d) Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada presente y futura física o mental de un individuo. En particular se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

e) Tratamiento de datos: cualquier operación o procedimiento técnico sea o no automatizado que implique la recogida grabación conservación elaboración modificación consulta utilización modificación cancelación bloqueo o supresión así como las cesiones de datos que resulten de comunicaciones consultas interconexiones y transferencias.

f) Fichero: todo conjunto organizado de datos de carácter personal que permita el acceso a los datos con arreglo a criterios determinados cualquiera que fuere la forma o modalidad de su creación almacenamiento organización y acceso.

g) Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos de carácter personal ya sea aquél centralizado descentralizado o repartido de forma funcional o geográfica.

h) Afectado afectada interesada o interesado: persona física titular de los datos que sean objeto de tratamiento.

i) Consentimiento del interesado o interesada: toda manifestación de voluntad libre inequívoca específica e informada mediante la que el interesado o la interesada consienta el tratamiento de datos de carácter personal que le conciernen.

j) Procedimiento de disociación: todo tratamiento de datos de carácter personal de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

k) Dato disociado: aquel que no permite la identificación de un afectado afectada o interesada interesado.

l) Cesión o comunicación de datos: tratamiento de datos que supone su revelación a una persona distinta del interesado.

m) Destinatario o cesionario: la persona física o jurídica pública o privada u órgano administrativo al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

n) Encargado del tratamiento: la persona física o jurídica autoridad pública servicio o cualquier otro organismo que sólo o conjuntamente con otros trate datos de carácter personal por cuenta de la UPV/EHU como consecuencia de la existencia de una relación jurídica que le vincula con la misma y delimita el ámbito de su actuación para la prestación de un servicio.

o) Tercero: la persona física o jurídica autoridad pública o privada u órgano administrativo distinto del afectado afectada interesada o interesado de la persona Responsable Interno del fichero [definido en el artículo 5.4.b.)] del Encargado o Encargada del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del Responsable Interno del fichero o del Encargado o Encargada del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

p) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada por cualquier persona no impedida por una norma limitativa o sin más exigencias que en su caso el abono de una contraprestación. Tienen la consideración de fuentes de acceso público exclusivamente el censo promocional las guías de servicios de comunicaciones electrónicas en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre título profesión actividad grado académico dirección e indicación de su pertenencia al grupo. Asimismo tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación social.

q) Cancelación: procedimiento en virtud del cual la persona responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

r) Supresión borrado: la eliminación física de los datos de carácter personal cancelados una vez cumplido el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento de dichos datos.

s) Usuario o Usuaria: persona o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de una usuaria o un usuario físico. Los “perfiles de usuarios” consisten en accesos autorizados a un grupo de usuarios o usuarias.

4.2. A los efectos del presente Reglamento los conceptos recogidos a continuación relacionados con las medidas de seguridad a adoptar serán entendidos de la siguiente manera:

a) Sistema de información: conjunto de ficheros tratamientos programas soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

b) Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento los sistemas de información podrán ser automatizados no automatizados o parcialmente automatizados.

c) Recurso: cualquier parte componente de un sistema de información.

d) Accesos autorizados: autorizaciones concedidas a un usuario o usuaria para la utilización de los diversos recursos.

e) Identificación: procedimiento de reconocimiento de la identidad de una usuaria o usuario.

f) Autenticación: procedimiento de comprobación de la identidad de un usuario o usuaria.

g) Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

h) Contraseña: información confidencial frecuentemente constituida por una cadena de caracteres que puede ser usada en la autenticación de un usuario o usuaria o en el acceso a un recurso.

i) Fichero temporal: fichero de trabajo creado por usuarios o procesos que es necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

j) Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

k) Soporte: objeto físico que almacena o contiene datos u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.

l) Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

m) Documentación: todo escrito señal gráfico sonido dibujo película fotografía cinta magnética cinta mecanográfica cassette disco CD-Rom DVD dispositivos externos de almacenamiento u otro medio físico en el que se haya registrado información.

n) Transmisión de documentos: cualquier traslado comunicación envío entrega o divulgación de la información contenida en el mismo.

Artículo 5. Responsables.

5.1. Todo el personal de la UPV/EHU que realice tratamientos de datos de carácter personal de forma general o excepcional deberá respetar la normativa al respecto. Los trabajadores y trabajadoras de la Universidad deberán preocuparse por conocer sus obligaciones y ser conscientes de las consecuencias de carácter disciplinario o ante terceros en el caso de actuar al margen de lo establecido en este Reglamento.

5.2. Quienes tengan personal a su cargo deberán formarlo debidamente en sus deberes en relación con la protección de datos de carácter personal prestando especial atención a las nuevas personas que se incorporen a sus equipos.

5.3. La UPV/EHU asume su responsabilidad corporativa en relación con el deber de garantizar una protección de datos de carácter personal eficaz y válida en el ámbito de la Universidad en el marco de lo establecido en la normativa relativa a la protección de datos de carácter personal. En consecuencia la UPV/EHU planificará periódicamente acciones informativas y formativas dirigidas a su personal y de una manera preferente a quienes traten con más datos de carácter personal o datos especialmente protegidos.

5.4. El Rector o Rectora será el máximo o la máxima responsable de la efectiva aplicación de la normativa en materia de protección de datos de carácter personal por parte de la UPV/EHU y Responsable último de todos los ficheros declarados por la Universidad. Asimismo en la UPV/EHU se identifican las siguientes figuras con responsabilidad en la protección de datos de carácter personal:

a) Responsable de Seguridad LOPD: persona encargada de definir y velar por el cumplimiento de la estrategia global en materia de seguridad de la información de la UPV/EHU y especialmente la correcta adecuación de la misma a lo establecido en la normativa relativa a la protección de datos de carácter personal. Entre sus funciones estará la de canalizar el ejercicio de los derechos de acceso rectificación cancelación y oposición las revocaciones de consentimiento y las impugnaciones de valoraciones que puedan presentarse.

b) Responsable Interno de fichero: persona que por delegación del Rector o Rectora decide sobre la finalidad contenido y el tratamiento del o de los ficheros que le sean asignados. La persona Responsable Interno del fichero cumplirá con las funciones asignadas por la normativa en materia de protección de datos de carácter personal y el presente Reglamento a la persona “Responsable del fichero o tratamiento”.

c) Comité de Seguridad Informática y Gestión Documental: órgano que realiza la función de “Responsable de Seguridad” (según definición del RDLOPD) de todos los ficheros de la UPV/EHU y cuya función consiste en coordinar y controlar las medidas de seguridad aplicables a los citados ficheros.

d) Comisión para la Protección de Datos: órgano encargado de llevar a cabo la coordinación y control de la efectiva implantación del presente Reglamento y establecer las pautas generales de actuación de la UPV/EHU en cuestión de protección de datos.

e) Coordinador o Coordinadora de la protección de datos de carácter personal de Rectorado Vicerrectorado Centro Departamento Instituto Universitario de Investigación servicio u otro organismo universitario: el máximo o la máxima persona responsable del Rectorado Vicerrectorado Centro Departamento Instituto Universitario de Investigación servicio u organismo universitario asumirá la responsabilidad de difundir implantar y garantizar la efectiva aplicación de la normativa relativa a la protección de datos de carácter personal de la Universidad en el ámbito que le corresponda en coordinación y colaboración con el resto de responsables en materia de protección de datos de carácter personal de la Universidad y pudiendo designar a su vez a otras personas para estar tareas sin que ello implique una delegación de su responsabilidad.

5.5. En el Título IV del presente Reglamento se concretan las previsiones respecto a los responsables universitarios en materia de protección de datos.

TÍTULO II

TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

CAPÍTULO 1

RECOGIDA DE DATOS DE CARÁCTER PERSONAL

Artículo 6. Modo de recabar y tratar los datos.

6.1. Los datos de carácter personal deberán ser tratados de forma leal y lícita por lo que se prohíbe la recogida de datos por medios fraudulentos desleales o ilícitos.

6.2. Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas explícitas y legítimas.

6.3. La UPV/EHU tendrá presente en todo momento el principio de que los datos de carácter personal son propiedad de las personas a las que se refieren y no los solicitará ni hará uso de ellos salvo para aquellas finalidades para las que esté facultada debidamente.

Artículo 7. Información sobre el uso y la finalidad.

7.1. Los formularios de recogida de datos tanto en papel como en pantalla deberán incluir de modo expreso preciso e inequívoco la siguiente información:

a) la existencia de un fichero o tratamiento de datos de carácter personal la finalidad de la recogida de éste y los destinatarios de la información;

b) en su caso los cesionarios o categorías de cesionarios de los datos delimitados al menos por el tipo de actividad determinada y explícita a la que los mismos se dediquen;

c) el carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas;

d) las consecuencias de la obtención de los datos o de la negativa a suministrarlos;

e) la posibilidad de ejercitar los derechos de acceso rectificación cancelación y oposición y del órgano ante el que se ejercitan tales derechos.

f) la identidad y dirección de la persona Responsable del fichero o tratamiento.

7.2. No será necesaria la inclusión del contenido de los apartados c) y d) anteriores en el caso de que dicha información pueda deducirse de la naturaleza de los datos de carácter personal que se solicitan o de las circunstancias en que se recaban.

7.3. Con el fin de llevar el derecho de información a su máxima expresión la Universidad informará de la existencia del presente Reglamento cuando recoja datos de carácter personal a través de formularios indicando su ubicación en Internet en la web de la Universidad y en el de la Agencia Vasca de Protección de Datos para su consulta.

7.4. Cuando los datos de carácter personal no hayan sido recabados de la interesada o interesado éste deberá ser informado por la UPV/EHU dentro de los tres meses siguientes al momento de registro de los datos de forma expresa precisa e inequívoca salvo que ya hubiera sido informado con anterioridad sobre:

a) el contenido del tratamiento;

b) la procedencia de los datos;

c) la posibilidad de ejercitar los derechos de acceso rectificación cancelación y oposición; y

d) la identidad y dirección de la persona “Responsable de fichero o tratamiento”.

7.5. En el anexo I.M.I del presente Reglamento se recoge la cláusula informativa a introducir en los formularios donde se recaben datos de terceros. Se advierte que el contenido de la cláusula informativa es de carácter mínimo y por lo tanto en algunos casos será necesario completarla con otra serie de cuestiones como fórmulas de solicitud de autorización para futuras cesiones de datos por parte de la Universidad.

Artículo 8. Calidad de los datos.

8.1. Los datos de carácter personal sólo se podrán recoger para su tratamiento así como someterlos a dicho tratamiento cuando sean adecuados pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas explícitas y legítimas para las que se hayan obtenido.

8.2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

8.3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado se considerarán exactos los facilitados por éste. Si los datos de carácter personal registrados resultaran ser inexactos en todo o en parte o incompletos serán rectificados o cancelados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud sin perjuicio del ejercicio de los derechos por parte de las interesadas o los interesados reconocidos en los artículos 14 15 16 y 17 del presente Reglamento.

Cuando los datos hubieran sido comunicados previamente la persona Responsable del fichero o tratamiento deberá notificar al cesionario o cesionaria en el plazo de diez días la rectificación o cancelación efectuada. En el plazo de diez días desde la recepción de la notificación la cesionaria o el cesionario que mantuviera el tratamiento de los datos deberá proceder a la rectificación o cancelación notificada. Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado.

Artículo 9. Tratamiento con fines estadísticos históricos o científicos.

9.1. No se considerará incompatible a los efectos previstos en el artículo 8.2 del presente Reglamento el tratamiento de los datos de carácter personal con fines históricos estadísticos o científicos. Para la determinación de los fines a los que se refiere el párrafo anterior se estará a la legislación que en cada caso resulte aplicable y en particular a lo dispuesto en la Ley 12/1989 de 9 de mayo reguladora de la Función Estadística Pública la Ley 16/1985 de 25 junio del Patrimonio Histórico Español y la Ley 13/1986 de 14 de abril de Fomento y Coordinación General de la Investigación Científica y Técnica y sus respectivas disposiciones de desarrollo así como a la normativa autonómica en estas materias.

9.2. La Agencia Vasca de Protección de Datos podrá previa solicitud de la persona Responsable del fichero o tratamiento y conforme al procedimiento establecido en la Sección Segunda del Capítulo VII del Título IX del RDLOPD acordar el mantenimiento íntegro de determinados datos atendidos sus valores históricos estadísticos o científicos de acuerdo con las normas a las que se refiere el apartado anterior.

Artículo 10. Conservación y cancelación de los datos.

10.1. Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso en tanto no proceda su cancelación y posterior supresión o borrado.

10.2. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato.

10.3. La cancelación implicará el bloqueo de los datos consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión o borrado de los datos.

10.4. La supresión o borrado supone la eliminación física de los datos de carácter personal cancelados una vez cumplido el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento de dichos datos.

10.5. En todo caso habrá que respetar lo establecido por la UPV/EHU en relación con la conservación y supresión de los datos en documentos y soportes.

Artículo 11. Consentimiento de la persona.

11.1. Salvo que la ley disponga otra cosa el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado. La obtención de dicho consentimiento se realizará siguiendo alguna de las fórmulas indicadas en el artículo 12 del presente Reglamento.

11.2. No obstante la Universidad no tendrá la obligación de solicitar su consentimiento a las personas titulares de los datos de carácter personal de los que quiera valerse cuando desee utilizarlos en alguno de los siguientes supuestos:

a) los datos de carácter personal se recogen para el ejercicio de las funciones propias de la Universidad en el ámbito de sus competencias;

b) los datos de carácter personal se refieren a las partes de un contrato o precontrato de una relación negocial laboral o administrativa y son necesarios para su mantenimiento o cumplimiento;

c) el tratamiento de los datos de carácter personal tiene por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la LOPD;

d) los datos figuran en fuentes accesibles al público y su tratamiento es necesario para la satisfacción del interés legítimo perseguido por la UPV/EHU o por el del tercero a quien se comuniquen los datos siempre que no se vulneren los derechos y libertades fundamentales del interesado o interesada.

11.3. Respecto a los datos de carácter personal relativos a la salud vida sexual u origen racial estos sólo podrán ser recabados tratados y cedidos cuando por razones de interés general así lo disponga una ley o el interesado o la interesada consienta expresamente. Las y los profesionales de la UPV/EHU directamente relacionados con la salud de los trabajadores podrán tratar los datos de carácter personal relativos a la salud de las personas que a ellos acudan de acuerdo con lo dispuesto en la normativa vigente en materia de sanidad y de protección de la salud y prevención de riesgos laborales.

11.4. El tratamiento de datos relativos a ideología religión creencias y afiliación sindical requiere el consentimiento expreso y por escrito del interesado o interesada. En el caso de que se recabasen datos relativos a la ideología religión o creencias de la interesada o del interesado éste será advertido de su derecho a no consentir el tratamiento de tales datos.

11.5. Una vez dado el consentimiento éste podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. La revocación del consentimiento podrá realizarse mediante escrito dirigido a la persona “Responsable de Seguridad LOPD” manifestando tal decisión y éste tras haber consultado al correspondiente Responsable de fichero o tratamiento deberá responder expresamente en el plazo de diez días desde la recepción de la solicitud de revocación del consentimiento materializando en su caso tal revocación dentro del mismo plazo. Si los datos para cuyo tratamiento se revoca el consentimiento hubieran sido comunicados previamente la UPV/EHU deberá notificar la revocación del consentimiento efectuada a quien se hayan comunicado en el caso de que se mantenga el tratamiento por este último. El modelo de revocación del consentimiento se recoge en el anexo I.M.II. También es posible revocar el consentimiento ejerciendo el derecho de cancelación previsto en el artículo 16 del presente Reglamento.

Artículo 12. Fórmulas para recabar el consentimiento.

12.1. La fórmula de autorización expresa para el tratamiento de datos figura como anexo I.M.III del presente Reglamento.

12.2. Asimismo en determinados supuestos como por ejemplo en el caso de que la persona Responsable del fichero o tratamiento solicite el consentimiento del afectado o afectada durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento desarrollo o control de la relación contractual que se pretende acordar se podrá permitir a la afectada o afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos posibilitándole la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

12.3. En aquellos supuestos en los que el consentimiento expreso no sea exigido de manera imperativa por una ley la persona Responsable del fichero o tratamiento podrá dirigirse al afectado informándole en los términos previstos en los artículos 5 de la LOPD y 12.2 del RDLOPD y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal. En todo caso será necesario que la persona Responsable del fichero o tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado o interesada.

Deberá facilitarse a la interesada o interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular se considerarán ajustados al presente Reglamento el que tal negativa pueda efectuarse mediante correo electrónico o su envío en sobre previamente facilitado por la Universidad con el franqueo pagado u otra modalidad postal.

Cuando se solicite el consentimiento del interesado o de la interesada a través de este último procedimiento no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.

CAPÍTULO 2

DERECHOS DE LOS INTERESADOS E INTERESADAS

Artículo 13. Solicitudes de acceso rectificación cancelación y oposición.

13.1. Los derechos de acceso rectificación cancelación y oposición son personalísimos y serán ejercidos por la interesada o interesado. Tales derechos se ejercitarán:

a) Por el afectado o afectada acreditando su identidad.

b) Cuando la afectada o afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos podrán ejercitarse por su representante legal en cuyo caso será necesario que acredite tal condición.

c) Los derechos también podrán ejercitarse a través de representante voluntario expresamente designado para el ejercicio del derecho. En ese caso deberá constar claramente acreditada la identidad de la persona representada mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente y la representación conferida por aquélla por cualquier medio válido en derecho que deje constancia fidedigna (por ejemplo poder notarial) o mediante declaración en comparecencia personal del interesado o interesada.

13.2. Será imprescindible que la interesada o interesado acredite su identidad. Por esta razón no serán atendidas las solicitudes de ejercicio de estos derechos que se efectúen por teléfono o cualquier otro medio que no permita acreditar la identidad de la interesada o interesado.

13.3. Los padres madres tutores o cualquier otro tercero no tendrán acceso al expediente académico o a cualquier otro dato personal de sus hijos hijas o personas queridas vinculadas con la UPV/EHU salvo en los supuestos expresamente aceptados por el presente artículo.

Esta imposibilidad se extiende a los datos de carácter personal de la persona fallecida. No obstante las personas vinculadas al fallecido o fallecida por razones familiares o de hecho podrán dirigirse a la persona “Responsable de Seguridad LOPD” con la finalidad de notificar el óbito aportando acreditación suficiente del mismo y solicitar cuando hubiere lugar a ello la cancelación de los datos. La persona “Responsable de Seguridad LOPD” comunicará la información facilitada a la persona Responsable del fichero o tratamiento afectado.

13.4. Los derechos de acceso rectificación cancelación y oposición se ejercerán mediante escrito dirigido a la persona “Responsable de Seguridad LOPD” a través del Registro General de la Universidad en cualquiera de las oficinas enumeradas en la Resolución de la UPV/EHU de 28 de mayo de 2007 (BOPV n.º 149 de 3 de agosto de 2007) o por cualesquiera de los medios previstos en el artículo 38.4 de la Ley 30/1992 de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. La persona “Responsable de Seguridad LOPD” se encargará de hacer llegar las solicitudes recibidas a las personas Responsables de fichero o tratamiento implicados. El anterior escrito contendrá las siguientes determinaciones y requisitos:

a) Nombre y apellidos del interesado o interesada; fotocopia de su documento nacional de identidad o de su pasaporte u otro documento válido que lo identifique y en su caso de la persona que lo represente o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa de la afectada o afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.

b) Petición en que se concreta la solicitud.

c) Domicilio a efectos de notificaciones fecha y firma de la persona solicitante.

d) Documentos acreditativos de la petición que formula en su caso.

13.5. El interesado o interesada deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud. Con objeto de facilitar el ejercicio de estos derechos en el Registro General de la Universidad y sus Registros auxiliares así como en la página web de la Universidad se pondrán a disposición de las personas interesadas los correspondientes formularios.

13.6. En el caso de que la solicitud no reúna los requisitos especificados en el apartado cuarto de este artículo la persona “Responsable de Seguridad LOPD” siguiendo las indicaciones de la persona Responsable del fichero o tratamiento deberá solicitar la subsanación de los mismos.

13.7. La UPV/EHU articulará los mecanismos necesarios para que las personas de su organización que tienen acceso a datos de carácter personal puedan informar al afectado o afectada respecto al procedimiento a seguir para el ejercicio de sus derechos.

13.8. Cuando los afectados o afectadas ejerciten sus derechos ante la persona Encargada del tratamiento ésta deberá dar traslado de la solicitud a la persona “Responsable de Seguridad LOPD” a menos que se prevea expresamente que el Encargado atenderá por cuenta de la persona responsable las solicitudes de ejercicio por los afectados o afectadas de sus derechos de acceso rectificación cancelación u oposición.

Artículo 14. Derecho de acceso.

14.1. El derecho de acceso es el derecho de la afectada o afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento la finalidad del tratamiento que en su caso se esté realizando así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

14.2. Al ejercitar el derecho de acceso la interesada o interesado podrá optar al formular su solicitud por uno o varios de los siguientes sistemas de consulta del fichero siempre que la configuración o implantación material del fichero lo permita:

a) Presencialmente mediante visualización en pantalla.

b) Escrito copia o fotocopia remitida por correo.

c) Correo electrónico u otros sistemas de comunicaciones electrónicas.

d) Cualquier otro procedimiento que sea adecuado a la configuración o implantación material del fichero o la naturaleza del tratamiento.

No obstante los sistemas de consulta del fichero previstos en el apartado anterior podrán restringirse en función de la configuración o implantación material del fichero o de la naturaleza del tratamiento siempre que el que se ofrezca al afectado o afectada sea gratuito y asegure la comunicación escrita si ésta así lo exige.

14.3. La solicitud de acceso se resolverá en el plazo máximo de un mes a contar desde la recepción de la solicitud. Si la solicitud fuera estimada pero no acompañase en la comunicación la información solicitada el acceso se hará efectivo durante los diez días siguientes a dicha comunicación.

14.4. La información que se proporcione cualquiera que sea el soporte en que fuere facilitada se dará en forma legible e inteligible sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Dicha información comprenderá todos los datos de base del afectado los resultantes de cualquier elaboración o proceso informático así como la información disponible sobre el origen de los datos los cesionarios o cesionarias de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

14.5. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses salvo que la persona interesada acredite un interés legítimo al efecto en cuyo caso podrá ejercitarlo antes.

14.6. Existe un modelo de formulario para el ejercicio del derecho de acceso en el anexo I.M.IV.

Artículo 15. Derecho de rectificación.

15.1. Cuando el titular o la titular de los datos tuvieran constancia de que sus datos de carácter personal tratados en un fichero son inexactos o incompletos podrá solicitar a la UPV/EHU la rectificación de los mismos. La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

15.2. La Universidad hará efectivo el derecho de rectificación del interesado en el plazo de diez días hábiles.

15.3. Serán rectificados los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y en particular cuando tales datos resulten inexactos o incompletos.

15.4. Si los datos rectificados hubieran sido cedidos previamente se deberá comunicar la rectificación efectuada al cesionario o cesionaria en idéntico plazo para que éste también en el plazo de diez días contados desde la recepción de dicha comunicación proceda asimismo a rectificar los datos.

15.5. Existe un modelo de formulario para el ejercicio del derecho de rectificación en el anexo I.M.V.

Artículo 16. Derecho de cancelación.

16.1. El ejercicio del derecho de cancelación dará lugar al bloqueo de los datos inadecuados o excesivos conservándose únicamente a disposición de las Administraciones públicas Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

16.2. En la solicitud de cancelación el interesado o interesada deberá indicar a qué datos se refiere aportando al efecto la documentación que lo justifique en su caso. La afectada o afectado podrá valerse de la solicitud de cancelación para revocar su consentimiento.

16.3. La UPV/EHU hará efectivo el derecho de cancelación de la interesada o interesado en el plazo de diez días hábiles.

16.4. En los casos en que siendo procedente la supresión de los datos no sea posible su extinción física tanto por razones técnicas como por causa del procedimiento o soporte utilizado la persona Responsable del fichero o tratamiento procederá al bloqueo de los datos con el fin de impedir su ulterior proceso o utilización. Se exceptúa no obstante el supuesto en el que se demuestre que los datos han sido recogidos o registrados por medios fraudulentos desleales o ilícitos en cuyo caso la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquéllos figuren.

16.5. Si los datos cancelados hubieran sido cedidos previamente se deberá comunicar la cancelación efectuada al cesionario o cesionaria en idéntico plazo para que éste también en el plazo de diez días contados desde la recepción de dicha comunicación proceda asimismo a cancelar los datos.

16.6. Existe un modelo de formulario para el ejercicio del derecho de cancelación en el anexo I.M.VI.

Artículo 17. Derecho de oposición.

17.1. El derecho de oposición es el derecho del afectado o afectada a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a) Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un motivo legítimo y fundado referido a su concreta situación personal que lo justifique siempre que una ley no disponga lo contrario.

b) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado o afectada y basada únicamente en un tratamiento automatizado de sus datos de carácter personal en los términos previstos en el artículo 36 del RDLOPD.

17.2. La UPV/EHU deberá excluir del tratamiento los datos relativos a la afectada o afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado o interesada en el plazo de diez días hábiles a contar desde la recepción de la solicitud.

17.3. Existe un modelo de formulario para el ejercicio del derecho de oposición en el anexo I.M.VII.

Artículo 18. Tramitación de las solicitudes de acceso rectificación cancelación y oposición.

18.1. La solicitud de acceso rectificación cancelación u oposición será contestada por la persona “Responsable de Seguridad LOPD” en función de lo indicado por la persona Responsable de fichero o tratamiento con independencia de que figuren o no datos de carácter personal del interesado en los ficheros de acuerdo con lo dispuesto a continuación mediante notificación administrativa. En el caso de que no se disponga de datos de carácter personal de los interesados o interesadas tal circunstancia será comunicada al interesado.

18.2. No se exigirá contraprestación alguna por el ejercicio de los derechos de acceso rectificación cancelación y oposición.

18.3. Corresponderá al Servicio Jurídico de la UPV/EHU el asesoramiento a la persona Responsable de Seguridad LOPD y Responsable del fichero o tratamiento sobre la homogeneización y fijación de los criterios aplicables en la atención a los derechos del interesado. A tal efecto la persona Responsable de Seguridad LOPD remitirá al Servicio Jurídico junto con la documentación necesaria aquellas solicitudes de acceso rectificación cancelación u oposición que por sus características particulares o por las cuestiones en ellos planteadas se considere que deben ser objeto de análisis jurídico específico. El Servicio Jurídico recabará los informes que estime oportunos y realizará una propuesta de resolución en el plazo más breve posible y en cualquier caso de tal modo que se puedan cumplir los plazos de respuesta asumidos por la Universidad.

18.4. Se rechazará la solicitud en los siguientes casos:

a) En los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa.

b) Cuando el solicitante sea una persona distinta del interesado o interesada o de su representante de acuerdo con lo dispuesto en el artículo 13.1 del presente Reglamento.

c) En el caso o en el caso del derecho de acceso cuando una ley o norma de derecho comunitario de aplicación directa impida revelar a los afectados el tratamiento de los datos a los que se refiera el acceso. Asimismo cuando se haya ejercitado tal derecho de acceso en los últimos doce meses salvo que se acredite un interés legítimo.

d) En el caso del derecho de rectificación cuando no se indique el dato que es erróneo y la corrección que deba realizarse.

e) En el caso del derecho de cancelación cuando se pueda causar un perjuicio a intereses legítimos de la interesada o interesado o de terceros cuando exista una relación contractual cuando deban gestionarse pagos y cobros o cuando su mantenimiento sea preciso para el adecuado cumplimiento de los fines de la UPV/EHU.

18.5. Si solicitado el acceso la rectificación la cancelación u oposición al tratamiento se considera que no procede acceder a la solicitud del interesado o interesada así se le comunicará de forma motivada. En todo caso la UPV/EHU deberá justificar su denegación e informar al afectado de su derecho a recabar la tutela de la Agencia Vasca de Protección de Datos conforme a lo dispuesto en el artículo 18 de la LOPD.

18.6. La UPV/EHU deberá dar respuesta a todas las solicitudes y conservará la acreditación del cumplimiento del mencionado deber; no obstante en el caso de silencio administrativo en los plazos fijados se entenderá que la solicitud ha sido rechazada.

18.7. Desde el momento en que transcurra un mes desde el ejercicio del derecho de acceso o diez días hábiles en el caso de los derechos de rectificación cancelación y oposición sin que el interesado o interesada haya obtenido ninguna respuesta o cuando ésta sea negativa o no satisfactoria el interesado podrá ejercitar su derecho de tutela ante la Agencia Vasca de Protección de Datos.

Artículo 19. Impugnación de valoraciones.

Las personas interesadas tendrán derecho a impugnar valoraciones basadas en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad ante la persona Responsable de Seguridad LOPD el cual se encargará de encauzar la solicitud a los Responsables de fichero o tratamiento afectados.

CAPÍTULO 3

COMUNICACIÓN DE DATOS DE CARÁCTER PERSONAL

Artículo 20. Deber de secreto.

20.1. Toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal de la UPV/EHU está obligada al secreto profesional respecto de los mismos y al deber de guardarlos obligaciones que subsistirán aun después de finalizar su relación con la Universidad.

20.2. El incumplimiento del deber de secreto será sancionado de conformidad con lo previsto en la legislación vigente y traerá consigo las responsabilidades disciplinarias y en su caso ante terceros que se establezcan.

Artículo 21. Obligaciones en las comunicaciones de datos.

21.1. Salvo en los casos expresamente previstos e indicados en el artículo 23 del presente Reglamento los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas de la UPV/EHU y del cesionario con el previo consentimiento de la persona interesada respetando en todo caso lo establecido en el artículo 11 del presente Reglamento.

21.2. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite a la persona interesada no le permita conocer el tipo de datos cuya cesión se autoriza la finalidad a la que se destinarán dichos datos o el tipo de actividad de aquél a quien se pretenden comunicar.

21.3. El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable por lo que en caso de producirse siguiendo lo establecido en el artículo 11.5 del presente Reglamento se deberá comunicar de inmediato la revocación a los cesionarios instándoles a que cesen en el tratamiento de los datos del interesado.

21.4. Aquél a quien se comuniquen los datos de carácter personal se obliga por el solo hecho de la comunicación a la observancia de las disposiciones de la LOPD.

21.5. Si la comunicación se efectúa previo procedimiento de disociación no será aplicable lo establecido en los apartados anteriores.

Artículo 22. Cesiones que requieren el consentimiento del afectado o afectada.

22.1. En el caso de que una entidad externa solicite a la UPV/EHU la cesión de datos de carácter personal en sus manos para un fin que la Universidad considere de interés se deberá proceder a la tramitación del correspondiente convenio respetando lo establecido en la normativa universitaria aplicable. En el anexo II.SC.IV del presente Reglamento se profundiza en este supuesto.

En la tramitación del convenio se solicitarán informes a la persona “Responsable de Seguridad LOPD” y a la persona Responsable del fichero o tratamiento los cuales serán vinculantes. Para que se pueda llevar a cabo la cesión la persona Responsable del fichero o tratamiento deberá confirmar en su informe que las personas cuyos datos se solicitan han dado previamente el consentimiento para la cesión y si no lo han hecho solicitar dicha autorización. La solicitud del consentimiento se realizará en el marco de lo establecido en el artículo 12 del presente Reglamento.

La persona Responsable del fichero o tratamiento procederá al registro de las cesiones de datos realizadas con el fin de garantizar el efectivo futuro ejercicio de los derechos de acceso rectificación cancelación y oposición de los interesados o interesadas. Asimismo las cesiones realizadas serán reflejadas en el correspondiente Registro de entradas y salidas del Documento de Seguridad del fichero.

22.2. Como salvedad al procedimiento establecido en los apartados anteriores si se recibe una solicitud de datos por parte de una entidad externa y la UPV/EHU considere de interés colaborar en la divulgación de determinada información facilitada por la entidad externa (interés el cual siempre tendrá que estar relacionado con los fines de la UPV/EHU según sus Estatutos) la Universidad podrá llevar a cabo dicha distribución y correr con los gastos.

La unidad organizativa de la UPV/EHU implicada (Rectorado Vicerrectorados Gerencia Centros Institutos y Cátedras) tras la correspondiente aprobación de la iniciativa por su máximo responsable solicitará el permiso correspondiente a la persona Responsable de Seguridad LOPD. Una vez de haber recibido la autorización por escrito de la persona “Responsable de Seguridad LOPD” la unidad organizativa interesada se encargará del envío de la información facilitada por la entidad externa la cual irá introducida obligatoriamente por un escrito de presentación de la Universidad que justifique el interés de dicho envío.

El medio prioritario de distribución será el correo electrónico. Tan sólo en supuestos excepcionales debidamente justificados en la solicitud que se realice a la persona “Responsable de Seguridad LOPD” se procederá al envío por correo postal y en tal caso los gastos serán asumidos por la propia Universidad.

Asimismo se podrán habilitar en la web de la Universidad lugares en los que se pueda colocar información no directamente relacionada con la Universidad pero de interés para la comunidad universitaria.

Artículo 23. Cesiones que no requieren el consentimiento del afectado o afectada.

23.1. Al margen de lo establecido en los artículos anteriores no se requerirá el previo consentimiento de la afectada o afectado de acuerdo con lo establecido en los artículos 11 y 21 de la LOPD cuando la Universidad haya sido requerida para ceder o desee facilitar dichos datos a un tercero en los siguientes supuestos:

a) La cesión está autorizada por una norma con rango de ley o una norma de derecho comunitario.

b) Se trate de datos recogidos de fuentes accesibles al público y su tratamiento es necesario para la satisfacción del interés legítimo perseguido por la UPV/EHU o por el del tercero a quien se comuniquen los datos siempre que no se vulneren los derechos y libertades fundamentales del interesado.

c) El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d) La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo el Ministerio Fiscal los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) La cesión se produzca entre Administraciones públicas en los tres siguientes casos: cuando la cesión tenga por objeto el tratamiento posterior de los datos con fines históricos estadísticos o científicos; cuando sean datos de carácter personal que una Administración pública haya obtenido o elaborado con destino a otra; y cuando la comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.

f) Cuando la cesión se efectúe previo procedimiento de disociación es decir de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

23.2. En tales casos las cesiones se llevarán a cabo mediante la supervisión de la persona Responsable de Seguridad LOPD y la persona Responsable del fichero o tratamiento. En caso de duda será obligatorio consultar a la persona Responsable de Seguridad LOPD.

Artículo 24. Transferencia internacional de datos.

24.1. A la luz del presente Reglamento se entiende como transferencia internacional de datos el tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (compuesto por los países miembros por la Unión Europea Liechtenstein Noruega e Islandia) y Suiza bien constituya una cesión o comunicación de datos bien tenga por objeto la realización de un tratamiento de datos por cuenta de la persona Responsable del fichero o tratamiento.

24.2. Podrán realizarse transferencias internacionales de datos de carácter personal con destino a países que proporcionen un nivel de protección equiparable a la LOPD en función de lo establecido en los artículos 67 68 y 69 de la RDLOPD. De otro modo se deberá obtener la autorización previa del Director o Directora de la Agencia Española de Protección de Datos que sólo podrá otorgarla si se obtienen las garantías adecuadas.

24.3. Lo dispuesto en el apartado anterior no será de aplicación si la persona afectada hubiera dado su consentimiento inequívoco a la cesión cuando la cesión fuera necesaria para la ejecución de un servicio o contrato en interés del afectado o en cualquiera de los restantes supuestos previstos en el artículo 34 de la LOPD.

CAPÍTULO 4

ENCARGADO DEL TRATAMIENTO

Artículo 25. Relaciones entre la persona Responsable Interno del fichero y el Encargado del tratamiento.

25.1. El acceso a los datos por parte de un Encargado o Encargada del tratamiento que resulte necesario para la prestación de un servicio no se considerará comunicación de datos siempre y cuando se cumpla lo establecido en la LOPD y en el presente Capítulo.

El servicio prestado por el Encargado o Encargada del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido.

No obstante se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado o afectada.

25.2. Cuando la persona Responsable del fichero o tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos de carácter personal sometido a lo dispuesto en este Capítulo deberá velar por que el Encargado o Encargada del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

25.3. En el caso de que el Encargado o Encargada del tratamiento destine los datos a otra finalidad los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el artículo 12.2 de la LOPD será considerado también la persona Responsable del fichero o tratamiento respondiendo de las infracciones en que hubiera incurrido.

No obstante el Encargado del tratamiento no incurrirá en responsabilidad cuando previa indicación expresa de la persona Responsable del fichero o tratamiento comunique los datos a un tercero designado por aquél al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente Capítulo.

Artículo 26. Posibilidad de subcontratación de los servicios.

26.1. El Encargado o Encargada del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado la persona Responsable del fichero o tratamiento salvo que hubiera obtenido de éste autorización para ello. En este caso la contratación se efectuará siempre en nombre y por cuenta de la persona Responsable del fichero o tratamiento.

26.2. No obstante lo dispuesto en el apartado anterior será posible la subcontratación sin necesidad de nueva autorización siempre y cuando se cumplan los siguientes requisitos:

a) Que se especifiquen en el contrato suscrito entre la Universidad y el Encargado del tratamiento los servicios que puedan ser objeto de subcontratación y si ello fuera posible la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar será preciso que el Encargado o Encargada del tratamiento comunique a la persona responsable de la Universidad los datos que la identifiquen antes de proceder a la subcontratación.

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones de la persona Responsable del fichero o tratamiento.

26.3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato dicha necesidad será sometida a la consideración de la persona Responsable del fichero o tratamiento. Este último decidirá si aceptar o rechazar la solicitud y en su caso llevará a cabo los trámites necesarios para que la empresa a subcontratar cumpla al menos con los compromisos asumidos por la empresa contratada.

Artículo 27. Conservación de los datos por el Encargado del tratamiento.

27.1. Una vez cumplida la prestación contractual los datos de carácter personal deberán ser destruidos o devueltos a la persona Responsable del fichero o tratamiento o al encargado o encargada que éste hubiese designado al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación en cuyo caso deberá procederse a la devolución de los mismos garantizando la persona Responsable del fichero o tratamiento dicha conservación.

27.2. El Encargado o Encargada del tratamiento conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la persona Responsable del fichero o tratamiento.

TÍTULO III

REQUISITOS FORMALES RELATIVOS A LOS FICHEROS

Artículo 28. Creación modificación y supresión de ficheros.

28.1. La decisión de creación modificación o supresión de ficheros de la UPV/EHU será adoptada por su Consejo de Gobierno y la resolución correspondiente será publicada en el Boletín Oficial del País Vasco. Una vez publicada tal Resolución ésta será notificará a la Agencia Vasca de Protección de Datos para su inscripción en el Registro de Protección de Datos de Euskadi.

28.2. Las disposiciones de creación o de modificación de ficheros deberán indicar:

a) la identificación del fichero indicando su denominación así como la descripción de su finalidad y usos previstos;

b) las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos;

c) el procedimiento de recogida de los datos de carácter personal;

d) la estructura básica del fichero;

e) la descripción de los tipos de datos de carácter personal incluidos en el mismo;

f) las cesiones de datos de carácter personal previstas;

g) las transferencias de datos que se prevean a países terceros en su caso;

h) la UPV/EHU como Responsable de fichero o tratamiento;

i) el Rectorado de la Universidad como la unidad donde se puede ejercitar los derechos de acceso rectificación cancelación y oposición; y

j) las medidas de seguridad con indicación del nivel básico medio o alto exigible.

28.3. Cuando una unidad de la Universidad necesite por razones de servicio recabar datos distintos a los mencionados en los ficheros registrados de la UPV/EHU inscritos ante la Agencia Vasca de Protección de Datos dicha unidad realizará una solicitud a la persona Responsable de Seguridad LOPD requiriendo tal posibilidad mediante escrito motivado. En caso de reunir todas las condiciones exigidas por la ley sus disposiciones de desarrollo y este Reglamento la persona Responsable de Seguridad LOPD junto con el Servicio Jurídico de la Universidad llevarán a cabo los trámites precisos para la modificación de los ficheros inscritos o la creación de nuevos ficheros con el fin de que la citada unidad de la Universidad pueda proceder a recabar los datos que necesita.

28.4. En el anexo I.M.VIII se adjuntan los ficheros declarados en virtud del Acuerdo adoptado por el Consejo de Gobierno de la UPV/EHU de 8 de febrero de 2007 para la creación modificación y supresión de ficheros de datos de carácter personal de la Universidad publicado por Resolución de 28 de febrero de 2007 del Secretario General de la UPV/EHU (BOPV n.º 69 de 11 de abril de 2007).

TÍTULO IV

RESPONSABLES EN MATERIA DE PROTECCIÓN DE DATOS

Artículo 29. Responsable de Seguridad LOPD.

29.1. La UPV/EHU tendrá una persona responsable de seguridad de carácter general para toda la Universidad en adelante Responsable de Seguridad LOPD el cual será la persona encargada de definir y velar por el cumplimiento de la estrategia global en materia de seguridad de la información de la UPV/EHU y especialmente la correcta adecuación de la misma a lo establecido en la normativa relativa a la protección de datos de carácter personal.

29.2. Las funciones de la persona Responsable de Seguridad LOPD serán entre otras las siguientes:

a) encargarse de canalizar el ejercicio de los derechos de acceso rectificación cancelación y oposición las revocaciones de consentimiento y las impugnaciones de valoraciones que puedan presentarse;

b) supervisar las solicitudes de cesión de datos a entidades externas;

c) resolver cuantas dudas puedan suscitarse en relación con la protección de datos de carácter personal;

d) redactar y controlar las cláusulas informativas y documentos de autorización en relación con la protección de datos de carácter personal;

e) resto de funciones que puedan ser encomendadas por este Reglamento o las competentes instancias universitarias.

Artículo 30. Máximo Responsable de los ficheros y Responsables Internos de fichero.

30.1. El Rector o Rectora será la máxima persona responsable de la efectiva aplicación de la normativa en materia de protección de datos de carácter personal por parte de la UPV/EHU y responsable último de todos los ficheros declarados por la UPV/EHU.

No obstante cada fichero tendrá una persona Responsable Interno de fichero que por delegación del Rector o Rectora decidirá sobre la finalidad contenido y tratamiento del fichero que se le asigne. La persona Responsable Interno del fichero cumplirá las funciones asignadas por la ley o este Reglamento a la persona Responsable del fichero o tratamiento en relación al fichero que le ha sido adjudicado.

30.2. La persona Responsable Interno del fichero será la encargada de:

a) la seguridad del fichero por lo que se responsabilizará de la implantación de la normativa universitaria relacionada con la seguridad informática y la protección de datos en relación con el fichero que le ha sido asignado;

b) llevar a cabo las acciones necesarias para que el personal de la UPV/EHU especialmente los Coordinadores o Coordinadoras de la protección de datos de carácter personal de Rectorado Vicerrectorado Centro Departamento Instituto Universitario de Investigación servicio u organismo universitario conozcan las normas que afectan al desarrollo de sus funciones en relación con su fichero así como las consecuencias en que pudieran incurrir en caso de incumplimiento;

c) resto de funciones que puedan ser encomendadas por este Reglamento o las competentes instancias universitarias.

30.3. Una misma persona podrá ser Responsable Interno de varios ficheros.

Artículo 31. Comité de Seguridad Informática y Gestión Documental.

31.1. Los Responsables Internos de los ficheros designarán a un comité la “Comité de Seguridad Informática y Gestión Documental” como “Responsable de Seguridad” (según definición del RDLOPD) de sus ficheros. Por lo tanto dicho comité será el encargado de coordinar y controlar las medidas de seguridad aplicables en relación con todos los ficheros de la UPV/EHU y para ello podrá apoyarse en las personas que estime oportuno.

31.2. La composición de este Comité será la siguiente:

El Vicegerente o Vicegerenta de Tecnologías de la Información y las Comunicaciones (o Vicegerente designado por el Gerente).

La persona Responsable de Seguridad LOPD.

Una persona de cada Centro de Informática de la Universidad.

El o la técnico de Archivo de Secretaría General.

Una persona del Servicio Jurídico.

Artículo 32. Comisión para la Protección de Datos.

32.1. Esta Comisión se reunirá al menos semestralmente con el objeto de llevar a cabo el control y la coordinación de la efectiva implantación del presente Reglamento y establecer las pautas de actuación de la UPV/EHU en cuestión de protección de datos.

32.2. La composición de esta Comisión será la siguiente:

El Vicegerente o Vicegerenta de Recursos Generales (o Vicegerente designado por el Gerente).

La persona Responsable de Seguridad LOPD.

Dos personas Responsables Internos de Fichero designados por el Rector o Rectora a propuesta de la persona Responsable de Seguridad LOPD.

El Jefe o Jefa de Secretaría General.

Una persona del Servicio Jurídico.

Un Administrador o Administradora de Centro universitario designado por el Gerente o Gerenta.

Un Secretario o Secretaria de Campus designado por el Rector o Rectora a propuesta del Secretario o Secretaria General.

32.3. Las funciones de la Comisión para la Protección de Datos entre otras serán las siguientes:

a) supervisar la implantación del presente Reglamento y promover medidas para la consecución de su efectiva aplicación;

b) proponer e impulsar la aprobación de las actualizaciones necesarias del presente Reglamento ante los órganos universitarios competentes;

c) realizar un seguimiento de los derechos de acceso rectificación cancelación y oposición revocación del consentimiento e impugnación de valoraciones que se presenten ante la persona Responsable de Seguridad LOPD;

d) resto de funciones que puedan ser encomendadas por este Reglamento o las competentes instancias universitarias.

Artículo 33. Coordinador o Coordinadora de la protección de datos de carácter personal de Rectorado Vicerrectorado Centro Departamento Instituto Universitario de Investigación servicio u otro organismo universitario.

El máximo o máxima responsable del Rectorado Vicerrectorado Centro Departamento Instituto Universitario de Investigación servicio u otro organismo universitario será la persona encargada de difundir implantar y garantizar la efectiva aplicación de la normativa relativa a la protección de datos de carácter personal de la Universidad en el ámbito que le corresponda en coordinación y colaboración con el resto de responsables en materia de protección de datos de carácter personal de la Universidad y pudiendo designar a su vez a otras personas para estar tareas sin que ello implique una delegación de su responsabilidad.

TÍTULO V

MEDIDAS DE SEGURIDAD

CAPÍTULO 1

MEDIDAS DE APLICACIÓN GENERAL

Artículo 34. Niveles de seguridad.

34.1. Se establecen tres niveles de seguridad - básico medio y alto - que deben aplicarse a los ficheros y tratamientos tanto automatizados como no automatizados atendiendo a la naturaleza de la información tratada y en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

34.2. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

34.3. Deberán implantarse además de las medidas de seguridad de nivel básico las medidas de nivel medio en los siguientes ficheros o tratamientos de carácter personal:

Los relativos a la comisión de infracciones administrativas o penales.

Aquellos de los que sean responsables las Administraciones Tributarias las entidades financieras las entidades dedicadas la prestación de servicios de información sobre solvencia patrimonial y crédito las Entidades Gestoras y Servicios Comunes de la Seguridad Social y las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de las ciudadanas o ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

34.4. Además de las medidas de nivel básico y medio las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

Los que se refieran a datos de ideología afiliación sindical religión creencias origen racial salud o vida sexual.

Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

Aquéllos que contengan datos derivados de actos de violencia de género.

34.5. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización se aplicarán además de las medidas de seguridad de nivel básico y medio la medida de seguridad de nivel alto contenida en el artículo 103 del RDLOPD.

34.6. En caso de ficheros o tratamientos de datos de ideología afiliación sindical religión creencias origen racial salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que las afectadas o afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

34.7. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado o afectada con motivo del cumplimiento de deberes públicos.

34.8. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase la persona Responsable del fichero o tratamiento.

34.9. A los efectos de facilitar el cumplimiento de lo dispuesto en este Título cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto o de la naturaleza de los datos que contengan requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal podrán segregarse de este último siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios o usuarias con acceso a los mismos y que esto se haga constar en el Documento de Seguridad.

34.10. En el anexo I.M.IX y anexo I.M.X se incluye un cuadro resumen sobre las medidas de seguridad aplicables a los ficheros automatizados y no automatizados respectivamente en función de lo establecido por el RDLOPD.

Artículo 35. Encargado del tratamiento.

35.1. Cuando la persona Responsable del fichero o tratamiento facilite el acceso a los datos a los soportes que los contengan o a los recursos del sistema de información que los trate a un Encargado del tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el Documento de Seguridad de dicha persona Responsable comprometiéndose el personal del Encargado del tratamiento al cumplimiento de las medidas de seguridad previstas en el citado documento.

Cuando dicho acceso sea remoto habiéndose prohibido al Encargado del tratamiento incorporar tales datos a sistemas o soportes distintos de los de la persona Responsable este último deberá hacer constar esta circunstancia en el Documento de Seguridad de la persona Responsable comprometiéndose el personal del Encargado del tratamiento al cumplimiento de las medidas de seguridad previstas en el citado documento.

35.2. Si el servicio fuera prestado por el Encargado del tratamiento en sus propios locales ajenos a los de la persona Responsable del fichero o tratamiento deberá elaborar un Documento de Seguridad o completar el que ya hubiera elaborado en su caso identificando el fichero o tratamiento y la persona Responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

35.3. En todo caso el acceso a los datos por el Encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este Reglamento.

Artículo 36. Prestaciones de servicios sin acceso a datos de carácter personal.

La persona Responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos de carácter personal a los soportes que los contengan o a los recursos del sistema de información para la realización de trabajos que no impliquen el tratamiento de datos de carácter personal.

Cuando se trate de personal ajeno el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos de carácter personal y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

Artículo 37. Delegación de autorizaciones.

Las autorizaciones que en este Título se atribuyen la persona Responsable del fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. En el Documento de Seguridad deberán constar las personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde a la persona Responsable del fichero o tratamiento.

Artículo 38. Acceso a datos a través de redes de comunicaciones.

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones sean o no públicas deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local conforme a los criterios establecidos en el artículo 34 del presente Reglamento.

Artículo 39. Régimen de trabajo fuera de los locales de la persona Responsable del fichero o tratamiento o Encargado o Encargada del tratamiento.

39.1. Cuando los datos de carácter personal se almacenen en dispositivos portátiles o se traten fuera de los locales de la persona Responsable de fichero o tratamiento o del Encargado o Encargada del tratamiento será preciso que exista una autorización previa de la persona Responsable del fichero o tratamiento y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

39.2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el Documento de Seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Artículo 40. Ficheros temporales o copias de trabajo de documentos.

40.1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 34 del presente Reglamento.

40.2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

CAPÍTULO 2

DOCUMENTO DE SEGURIDAD Y AUDITORIA

Artículo 41. Documento de Seguridad.

41.1. La UPV/EHU implantará la normativa de seguridad mediante un documento que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente. Dicho documento será de obligado cumplimiento para el personal con acceso a datos de carácter personal y sistemas de información.

41.2. El documento deberá contener como mínimo los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas normas procedimientos de actuación reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de documentos y soportes así como para la destrucción de los documentos y soportes o en su caso la reutilización de estos últimos.

h) Las medidas de seguridad adoptadas respecto de los ficheros o tratamientos no automatizados.

i) La identificación de la persona “responsable de seguridad” es decir el Comité de Seguridad Informática y Gestión Documental.

j) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

41.3. Cuando exista un tratamiento de datos por cuenta de terceros el Documento de Seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de Encargado o Encargada con referencia expresa al contrato o documento que regule las condiciones del encargo así como de la identificación del responsable y del período de vigencia del encargo.

41.4. En aquellos casos en los que datos de carácter personal de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del Encargado la persona Responsable del fichero o tratamiento deberá anotarlo en el Documento de Seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos de la persona Responsable del fichero o tratamiento podrá delegarse en el Encargado del tratamiento la llevanza del Documento de Seguridad salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999 de 13 de diciembre de protección de los datos de carácter personal con especificación de los ficheros o tratamientos afectados. En tal caso se atenderá al Documento de Seguridad del Encargado al efecto del cumplimiento de lo dispuesto por este Reglamento.

41.5. El Documento de Seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información en el sistema de tratamiento empleado en su organización en el contenido de la información incluida en los ficheros o tratamientos o en su caso como consecuencia de los controles periódicos realizados. En todo caso se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

41.6. El contenido del Documento de Seguridad deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Artículo 42. Auditoria.

42.1. A partir del nivel medio de medidas de seguridad los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán al menos cada dos años a una auditoria interna o externa que verifique el cumplimiento del presente Título. Con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo de dos años señalado en el párrafo anterior.

42.2. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles tanto al presente Reglamento como a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá igualmente incluir los datos hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

42.3. Los informes de auditoria serán analizados por la persona Responsable de Seguridad LOPD que elevará las conclusiones a los Responsables Internos de los Ficheros al Comité de Seguridad Informática y Gestión Documental y a la Comisión para la Protección de Datos con el fin de que adopten las medidas correctoras adecuadas. Asimismo quedarán a disposición de la Agencia Vasca de Protección de Datos.

CAPÍTULO 3

MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS

SECCIÓN PRIMERA

MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

Artículo 43. Funciones y obligaciones del personal.

43.1. Las funciones y obligaciones de cada uno de los usuarios y usuarias o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el Documento de Seguridad. También se definirán las funciones de control o autorizaciones delegadas por la persona Responsable del fichero o tratamiento.

43.2. La persona Responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Artículo 44. Registro de incidencias.

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificación a quién se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Artículo 45. Control de acceso.

45.1. Las usuarias o usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

45.2. La persona Responsable del fichero o tratamiento se encargará de que exista una relación actualizada de usuarias o usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos.

45.3. La persona Responsable del fichero o tratamiento establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

45.4. Exclusivamente el personal autorizado para ello en el Documento de Seguridad podrá conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por la persona Responsable del fichero o tratamiento.

45.5. En caso de que exista personal ajeno a la persona Responsable del fichero o tratamiento que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 46. Gestión de soportes y documentos.

46.1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el Documento de Seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el Documento de Seguridad.

46.2. La salida de soportes y documentos que contengan datos de carácter personal incluidos los comprendidos y/o anejos a un correo electrónico fuera de los locales bajo el control de la persona Responsable del fichero o tratamiento deberá ser autorizada por la persona Responsable del fichero o tratamiento encontrarse debidamente autorizada en el Documento de Seguridad.

46.3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción pérdida o acceso indebido a la información durante su transporte.

46.4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Artículo 47. Identificación y autenticación.

47.1. La persona Responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. Para ello podrán utilizarse entre otros mecanismos basados en certificados digitales electrónicos o en el reconocimiento de datos biométricos.

47.2. La persona Responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario o usuaria que intente acceder al sistema de información y la verificación de que está autorizado.

47.3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación distribución y almacenamiento que garantice su confidencialidad e integridad.

47.4. El Documento de Seguridad establecerá la periodicidad que en ningún caso será superior a un año con la que tienen que ser cambiadas las contraseñas que mientras estén vigentes se almacenarán de forma ininteligible.

Artículo 48. Copias de respaldo y recuperación.

48.1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

48.2. Asimismo se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el Documento de Seguridad.

48.3. La persona Responsable del fichero o tratamiento se encargará de verificar cada seis meses la correcta definición funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

48.4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el Documento de Seguridad.

Si está previsto realizar pruebas con datos reales previamente deberá haberse realizado una copia de seguridad.

SECCIÓN SEGUNDA

MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Artículo 49. Auditoria.

49.1. A partir del nivel medio la auditoria al menos cada dos años de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos será obligatoria.

Artículo 50. Gestión de soportes y documentos.

50.1. Deberá establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el número de documentos o soportes incluidos en el envío el tipo de información que contienen la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

50.2. Igualmente se dispondrá de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora la persona destinataria el número de documentos o soportes incluidos en el envío el tipo de información que contienen la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Artículo 51. Identificación y autenticación.

La persona Responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Artículo 52. Control de acceso físico.

Exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Artículo 53. Registro de incidencias.

53.1. En el registro regulado en el artículo 40 deberán consignarse además los procedimientos realizados de recuperación de los datos indicando la persona que ejecutó el proceso los datos restaurados y en su caso qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

53.2. Será necesaria la autorización de la persona Responsable del fichero o tratamiento para la ejecución de los procedimientos de recuperación de los datos.

SECCIÓN TERCERA

MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Artículo 54. Gestión y distribución de soportes.

54.1. La identificación de los soportes o documentos se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios o usuarias con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificación para el resto de personas.

54.2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control de la persona Responsable del fichero o tratamiento.

54.3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el Documento de Seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artículo 55. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan que deberá cumplir en todo caso las medidas de seguridad exigidas en este Título o utilizando elementos que garanticen la integridad y recuperación de la información de forma que sea posible su recuperación.

Artículo 56. Registro de accesos.

56.1. De cada intento de acceso se guardarán como mínimo la identificación del usuario o usuaria la fecha y hora en que se realizó el fichero accedido el tipo de acceso y si ha sido autorizado o denegado.

56.2. En el caso de que el acceso haya sido autorizado será preciso guardar la información que permita identificar el registro accedido.

56.3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del “responsable de seguridad” competente es decir el Comité de Seguridad Informática y Gestión Documental sin que deban permitir la desactivación ni la manipulación de los mismos.

56.4. El período mínimo de conservación de los datos registrados será de dos años.

56.5. La persona Responsable de Seguridad LOPD junto con el Comité de Seguridad Informática y Gestión Documental se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

56.6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que la persona Responsable del fichero o del tratamiento sea una persona física.

b) Que la persona Responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos de carácter personal.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el Documento de Seguridad.

Artículo 57. Telecomunicaciones.

La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

CAPÍTULO 4

MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS

SECCIÓN PRIMERA

MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

Artículo 58. Obligaciones comunes.

58.1. Además de lo dispuesto en el presente Capítulo a los ficheros no automatizados les será de aplicación lo dispuesto en los Capítulos I y II del presente Título en lo relativo a:

a) Alcance.

b) Niveles de seguridad.

c) Encargado o encargada del tratamiento.

d) Prestaciones de servicios sin acceso a datos de carácter personal.

e) Delegación de autorizaciones.

f) Régimen de trabajo fuera de los locales de la persona Responsable del fichero o tratamiento o Encargado del tratamiento.

g) Copias de trabajo de documentos.

h) Documento de Seguridad.

58.2. Asimismo se les aplicará lo establecido por la Sección Primera del Capítulo III del presente Título en lo relativo a:

a) Funciones y obligaciones del personal.

b) Registro de incidencias.

c) Control de acceso.

d) Gestión de soportes.

Artículo 59. Criterios de archivo.

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en la respectiva normativa universitaria aplicable. Estos criterios deberán garantizar la correcta conservación de los documentos la localización y consulta de la información y posibilitar el ejercicio de los derechos de acceso rectificación cancelación y oposición.

En aquellos casos en los que no exista norma aplicable la persona Responsable del fichero o tratamiento deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Artículo 60. Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida la persona Responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Artículo 61. Custodia de los soportes.

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior por estar en proceso de revisión o tramitación ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

SECCIÓN SEGUNDA

MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Artículo 62. Auditoria.

A partir del nivel medio la auditoria interna o externa de los ficheros al menos cada dos años será obligatoria.

SECCIÓN TERCERA

MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Artículo 63. Almacenamiento de la información.

63.1. Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal de nivel alto deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

63.2. Si atendidas las características de los locales de que dispusiera la persona Responsable del fichero o tratamiento no fuera posible cumplir lo establecido en el apartado anterior la persona responsable adoptará medidas alternativas que debidamente motivadas se incluirán en el Documento de Seguridad.

Artículo 64. Copia o reproducción.

64.1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el Documento de Seguridad.

64.2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Artículo 65. Acceso a la documentación.

65.1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

65.2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios o usuarias.

65.3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el Documento de Seguridad.

Artículo 66. Traslado de documentación.

Siempre que se proceda al traslado físico de la documentación contenida en un fichero deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

TÍTULO VI

LA AGENCIA VASCA DE PROTECCIÓN DE DATOS

Artículo 67. La Agencia Vasca de Protección de Datos.

67.1. La Ley 2/2004 de 25 de febrero de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos configura a ésta como ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.

67.2. La Agencia Vasca de Protección de Datos asume como misión proteger la intimidad personal y familiar de los ciudadanos o ciudadanas y el legítimo ejercicio de sus derechos velando por el cumplimiento de la normativa sobre protección de datos de carácter personal. En el ejercicio de su actividad tiene la consideración de autoridad de control y la ley le garantiza la plena independencia y objetividad en el ejercicio de su cometido.

67.3. Entre las entidades públicas que están dentro del ámbito de control de la Agencia Vasca de Protección de Datos se encuentra la UPV/EHU.

Artículo 68. Actividades de la Agencia Vasca de Protección de Datos.

Para el ejercicio de las funciones que la ley confiere a la Agencia Vasca de Protección de Datos ésta desempeña entre otras las siguientes tareas o actividades:

a) Informar a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal y ayudarles y tutelarles en el ejercicio de los mismos.

b) Investigar aquellas actuaciones contrarias a la ley y resolver en su caso sobre las infracciones producidas y requerir la adopción de las medidas necesarias para la adecuación del tratamiento de datos a la legislación en vigor.

c) Mantener un Registro de Ficheros de Datos de Carácter Personal en el cual las administraciones públicas y entes de derecho público de la Comunidad Autónoma del País Vasco han de inscribir sus ficheros declarando los tipos de datos de carácter personal que recogen y tratan para el cumplimiento de sus fines.

d) Atender todo tipo de consultas e informes que en relación a la protección de datos le sean solicitados por personas e instituciones.

e) Difundir y extender la cultura de la protección de datos sensibilizando a los colectivos sociales y potenciando la formación y la adopción de mejores prácticas por parte de los trabajadores de las instituciones públicas.

DISPOSICIÓN TRANSITORIA

El carácter vinculante para la UPV/EHU de las medidas de seguridad previstas en el Título V del presente Reglamento se ajustará a lo establecido en la Disposición Transitoria Segunda del RDLOPD en relación con la obligatoriedad de las medidas de seguridad exigidas por dicho RDLOPD.

DISPOSICIÓN FINAL. Actualización del Reglamento y de los anexos - Entrada en vigor.

Este Reglamento será periódicamente actualizado en función de los nuevos requisitos normativos que puedan ser exigidos y los supuestos susceptibles de regulación que se vayan detectando.

Las modificaciones e incorporaciones de anexos podrán ser realizadas mediante acuerdo adoptado por la mayoría de los miembros del Consejo de Dirección de la UPV/EHU a propuesta conjunta de la Secretaría General y la Gerencia.

La Comisión para la Protección de Datos podrá enviar a la Secretaría General sus propuestas de cambio.

La versión actualizada del Reglamento estará disponible en la página web de la Universidad (www.ehu.es/babestu).

El presente Reglamento entrará en vigor el 1 de octubre de 2008 una vez de haber sido debidamente registrado en la Agencia Vasca de Protección de Datos.

Anexos

Omitidos.

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

• Iustel no es responsable de los comentarios escritos por los usuarios.
• No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
• Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.