Protección de Datos de Carácter Personal

Ir al contenido principal de la página
Compartir:

PRESENTACIÓN

La Universidad de Alcalá tiene entre sus objetivos garantizar la protección de la intimidad y la privacidad de todas aquellas personas que con ella se relacionan: estudiantes, profesores, personal de administración y servicios y, en general, cualquier otro ciudadano que en algún momento de su vida tenga relación con nuestra institución.

En este sentido, los Datos de Carácter Personal constituyen unos elementos esenciales a proteger, como así lo establece la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), y la Universidad de Alcalá pone los medios necesarios para llevar a cabo las medidas de índole técnico y organizativo que permitan un adecuado tratamiento de estos datos en la institución.

Este espacio web está destinado a albergar todos aquellos contenidos de utilidad en esta materia en la UAH.

PROTECCIÓN DE DATOS

Qué es

La Protección de Datos de Carácter Personal es un derecho fundamental que tienen todas las personas físicas para garantizar su vida privada y supone el control y poder de disposición de la información relativa a su esfera tanto pública como privada. Se garantiza por el artículo 18.4 de la Constitución Española.

 

PROTECCIÓN DE DATOS

Normativa aplicable

En nuestro ordenamiento jurídico, el derecho a la protección de datos personales no se recoge de forma expresa en nuestro texto constitucional, sino que es el artículo 18.4 Constitución Española el que lo garantiza de la siguiente forma:

La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos

Desarrollando esta obligación constitucionalmente prevista, encontramos la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).

A nivel internacional, la norma de referencia en relación con la regulación del tratamiento de datos personales es el Convenio nº 108, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, el 28 de enero de 1981.

El derecho a la Protección de Datos se garantiza también a nivel europeo a través de la Carta de Derechos fundamentales de la Unión Europea que lo reconoce en su artículo 8:

“Protección de datos de carácter personal

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
  2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.
  3. El respeto de estas normas estará sujeto al control de una autoridad independiente.”

A nivel comunitario el tratamiento de datos personales se encuentra regulado en la actualidad por la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos. Esta norma será sustituida en mayo del 2018 por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

PROTECCIÓN DE DATOS

Definiciones

Como regla general, la Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD) se aplicarán a todo tratamiento de datos personales que se realice en territorio español.

Así las cosas, todas las personas físicas y jurídicas -ya fueran públicas o privadas- que traten o manejen datos de carácter personal tienen que cumplir con una serie de principios y obligaciones, legal y reglamentariamente establecidos, que garanticen, en último término, el derecho de las personas a controlar y disponer de sus datos personales, esto es, su derecho a la protección de datos personales.

Con el fin de ofrecer una mayor comprensión de la materia, se hace necesario ofrecer una serie de definiciones básicas sobre tratamiento de datos personales:

  • Dato de carácter personal (art. 3.a) LOPD)

    Un dato de carácter personal es toda aquélla información que se refiere a una persona física identificada o identificable, esto es, desde su nombre y apellidos, hasta cualquier otra que revele información sobre sus hábitos, preferencias o forma de vida. Tal y como recoge el RLOPD, un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas, identificadas o identificables (art. 5.1.f)). Así, por ejemplo, un nombre y un apellido, la voz, una fotografía o la huella dactilar son datos de carácter personal.

    Esta definición nos lleva a realizar tres matizaciones: primero, que debemos referirnos a una persona identificada o identificable. En este sentido, la propia LOPD señala que será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de cualquier tipo de tratamiento, y que será lo que nos pueda llevar a identificar a la persona (art. 2.1 LOPD). Segundo, que debe ser una persona física, quedando así excluidas del ámbito de aplicación de la LOPD las personas jurídicas. Y, tercero, que en todo caso se refiere a personas físicas vivas, quedando también excluidos de la normativa de protección de datos los datos relativos a las personas fallecidas (art. 2.4 RLOPD).

    Por otro lado, al hablar de datos personales debemos tener presente que no toda la información personal va a tener el mismo nivel de protección, va a disfrutar de las mismas medidas de seguridad, sino que se distinguen categorías de datos personales, entre los que destacan los llamados “datos especialmente protegidos” (art. 7 LOPD). La diferente naturaleza o tipología de datos personales nos llevará a tener diferentes medidas de seguridad en función de dicha naturaleza, y que se clasificarán en medidas de nivel básico, medio y alto.

  • Datos especialmente protegidos (art. 7 LOPD)

    Son datos especialmente protegidos, también conocidos como datos sensibles, los que hagan referencia al origen racial o étnico, a la salud y a la vida sexual, así como los que revelen la ideología, afiliación sindical, religión, creencias

    Otros datos especialmente protegidos son los relativos a la comisión de infracciones penales o administrativas.

    Como regla general, para el tratamiento de estos datos se requerirá el consentimiento expreso y por escrito de su titular.

  • Fichero de datos personales (art. 3.b LOPD)

    Un fichero de datos personales es un conjunto organizado de datos personales conforme a un determinado criterio, independientemente de su forma de tratamiento (automatizado o manual). Por ejemplo, un fichero de recursos humanos -donde se recoge el conjunto de información relativa a los trabajadores de la entidad- se puede encontrar en soporte manual o informatizado.

  • Afectado o interesado (art. 3.e LOPD)

    Es el titular de los datos personales, esto es, el sujeto a quien se refieren los datos personales. Como hemos señalado anteriormente, debe ser una persona física, identificada o identificable.

  • Cesión de datos (art. 3.i LOPD)

    La Cesión de datos es “Toda revelación de datos realizada a una persona distinta del interesado”.

    Como regla general, los datos personales sólo pueden ser comunicados a una persona o entidad distinta del interesado con el consentimiento inequívoco de su titular.

  • Consentimiento (art. 3.h LOPD)

    El consentimiento es “Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

    La regla general para poder tratar datos será contar con un consentimiento informado de su titular.

  • Encargado del tratamiento (art. 3.g LOPD)

    El encargado es la persona, física o jurídica, pública o privada, que trabaja por cuenta del Responsable. Entre Encargado y Responsable debe existir un contrato de confidencialidad de uso de datos personales (previsto en el artículo 12 LOPD y denominado “acceso a los datos por cuenta de terceros”).

    La figura del Encargado recae, por excelencia, en las gestorías, asesorías o empresas informáticas, que trabajan por encargo del Responsable y que sólo harán con los datos personales que les pase el Responsable, lo que éste les indique en el citado contrato.

  • Fuentes accesibles al público (art.3.j LOPD)

    Fuentes accesibles al público las que la LOPD califica como tales, y son: el Censo promocional, los repertorios telefónicos, los listados profesionales y los Diarios, Boletines Oficiales y los medios de comunicación.

  • Procedimiento de disociación (art.3.f LOPD)

    La disociación consiste en “Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.”

    Dicho de otro modo, el dato disociado es aquel que no permite la identificación de un afectado o interesado. Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos.

    Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística, donde no se identifica a ningún sujeto.

  • Responsable del fichero o tratamiento de datos (art.3.d LOPD)

    El responsable es la persona física o jurídica, pública o privada, que decide la finalidad para la que se recogerán y tratarán los datos personales. En el caso de la Universidad de Alcalá el responsable del fichero es el/la Secretario/a General.

  • Tratamiento de datos personales (art.3.c LOPD)

    Cualquier actividad que se lleve a cabo con un dato personal, ya sea de forma automatizada o manual. Por ejemplo, la recogida, conservación, almacenamiento, manipulación, utilización, comunicación, transferencia, cesión… En este caso, colgar un listado de alumnos o sus calificaciones en una página Web es un tratamiento de datos personales que debe cumplir con la LOPD.

  • Usuarios

    Son usuarios el personal o empleados al servicio del responsable del fichero o encargado del tratamiento, que tenga acceso a los datos de carácter personal como consecuencia del trabajo encomendado.

PROTECCIÓN DE DATOS

Principios

Los Principios de la Protección de Datos se encuentran regulados en el Título II de la LOPD. Estos principios constituyen la base mediante la cual se articula el derecho fundamental a la protección de datos personales, siendo de obligado cumplimiento desde el momento en que se produce la recogida de datos de un afectado o interesado (el titular de los datos).

Debido a su carácter obligatorio, el Responsable del fichero y, en su caso, el Encargado del tratamiento, deben adoptar las medidas necesarias para que no se produzca una vulneración de los mismos. También deben ser conocidos y respetados por los usuarios de los ficheros con datos personales, ya que éstos son los que, en la mayoría de los casos, van a proceder a la recogida y tratamiento de los datos de los afectados o interesados. En este sentido, una buena política de protección de datos en la Universidad conlleva que todos los miembros de la comunidad universitaria conozcan y respeten estos principios.

El incumplimiento de los principios de protección de datos supone una lesión del derecho fundamental a la protección de datos de los afectados o interesados, lo que conllevaría la correspondiente sanción legalmente establecida.

Estos principios se pueden agrupar en dos bloques que indican, consecutivamente, cuándo puedo tratar datos personales y, una vez que sé que puedo tratarlos, cómo debe hacerse.

  • PRINCIPIO DE CALIDAD Y FINALIDAD DE LOS DATOS

    a) Principio de calidad (art. 4 LOPD)

    Conforme al Principio de Calidad los datos personales sólo podrán ser tratados si son adecuados, pertinentes y no excesivos (art. 4.1.LOPD). En este sentido, los datos personales recogidos deben adecuarse a la finalidad para la que van a ser tratados y no deben ser más de los necesarios para cumplir con la misma.

    Esto nos lleva también a la necesidad, legalmente establecida (art. 4.3 LOPD) de que los datos sean exactos y puestos al día. De esta forma, por ejemplo, no cumpliría con el requisito de calidad el hecho de tener una base de datos con direcciones o fechas de nacimiento erróneas.

     

    b) Principio de finalidad (art. 4 LOPD)

    La adecuación, pertinencia y excesividad sólo podrá medirse si se pone en relación con la finalidad para la que son recogidos los datos personales.

    En este sentido, Los datos personales deben recogerse con una finalidad determinada, explícita y legítima (art. 4.1 LOPD). Esto provoca que los datos personales no sean tratados con objetivos indeterminados o no explícitos; y, por otro lado, que no puedan ser utilizados para finalidades “incompatibles” con aquéllas para las que originariamente fueron recogidos. Por ejemplo, si se recogieran datos bancarios para el pago de una matrícula en un Curso de Postgrado, no se podrían utilizar dichos datos bancarios para hacer frente al pago de cualquier otra deuda que pudiera contraerse con la Universidad. Los datos personales deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recogidos (art. 4.5 LOPD). Esta será la regla general salvo que alguna previsión legal disponga un periodo de conservación determinado.

    Los datos personales deben ser tratados de manera leal y lícita. A lo que la LOPD establece (artículo 4.7) que “se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos”. Esto enlaza con el principio de legitimidad del tratamiento de datos personales y el requisito para que dicho tratamiento se produzca: el consentimiento.

  • PRINCIPIOS DE CONSENTIMIENTO E INFORMACIÓN

    Para que un tratamiento de datos sea legítimo, la regla general, tal y como exige la LOPD es que cuente con el consentimiento del titular de los datos, salvo que la ley disponga otra cosa (art. 6 LOPD). Y debe ser un consentimiento informado. De ahí que la información, a pesar de ser también un derecho del titular de los datos, se convierta en un principio legitimador de todo tratamiento y en una obligación del Responsable o Encargado.

    a) Principio de consentimiento (art. 6 LOPD)

    El consentimiento es la manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado autoriza el tratamiento de datos personales que le conciernen (art. 3.h) LOPD). De esta forma, para que se pueda dar este consentimiento, el sujeto debe estar previamente informado del tratamiento de datos personales que se va a efectuar.

    Además de las características previamente indicadas (libre, inequívoco, específico e informado), la LOPD atribuye al consentimiento el carácter de revocable (art. 6.3). No podemos olvidar que el derecho a la protección de datos personales consiste en el poder de disposición de los mismos, y el consentimiento será la “llave” que ponga en marcha este poder.

    Para el caso de que el consentimiento sea prestado por un menor de edad, se requerirá siempre el consentimiento de sus padres o tutores, excepto para el caso del tratamiento de datos personales de mayores de 14 años (art. 13 RLOPD), donde el consentimiento del menor será el único necesario para tratar sus datos personales.

    La LOPD, con carácter general, no establece nada respecto a la forma en la que prestar el consentimiento, admitiéndose tanto el consentimiento expreso como el tácito. Sólo en el caso de tratamiento de datos especialmente protegidos (leer definición) se hace referencia a este tema: para el tratamiento de datos relativos al origen racial, a la salud y a la vida sexual se dice que el consentimiento deberá ser expreso; y para el caso de los datos relativos a ideología, afiliación sindical, religión y creencias se dice que el consentimiento además de ser expreso deberá constar por escrito. No obstante, a partir de mayo de 2018 y como consecuencia de la puesta en aplicación del Reglamento General de Protección de Datos comunitario, sólo será válido el consentimiento expreso.

    Fuera de los supuestos legalmente previstos (arts. 6.2 y 11.2 LOPD) no se podrán tratar datos personales sin el consentimiento de su titular. Ningún sujeto, público o privado, podrá recoger datos de otro, o comunicarlos, sin su consentimiento.

    b) Principio de información (art. 5 LOPD)

    La propia LOPD exige que a los interesados a los que se les soliciten o de los que se les recojan datos sean previamente informados (art. 5.1.). De esta forma, se cumple y completa el requisito del consentimiento informado.

    La información, como ocurría con el consentimiento, debe cumplir con una serie de características: previa, expresa, precisa e inequívoca (art. 5.1 LOPD).

    La LOPD, además de reconocer la existencia y obligatoriedad del derecho, establece el momento en el que se debe informar al interesado y el tipo de información que se tiene que dar al mismo (art. 5.1). Así, el Responsable del tratamiento debe informar al interesado de: 

    • La existencia del fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de los datos, y de los destinatarios de la información.

    • El carácter obligatorio o facultativo de la respuesta a las preguntas que se le plantean.

    • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

    • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

    • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

    Por último, debemos señalar aquí que en relación con este principio, el Reglamento general de Protección de Datos recoge el cumplimiento del principio de transparencia, exigiendo “transparencia en la información” a suministrar al titular de los datos (artículo 12).

PROTECCIÓN DE DATOS

Derechos

Los derechos de los titulares de los datos personales son las facultades que integran el derecho a la protección de datos personales, los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición).

Estos derechos son de carácter personalísimo, esto es, se ejercen por su titular o por su representante legal o voluntario. Se ejercen de forma libre y gratuita, aunque su planteamiento debe hacerse conforme al procedimiento reglamentariamente establecido (arts. 24 y 25 RLOPD). Y así, por ejemplo, los afectados deberán presentar su solicitud, primero, frente al responsable del tratamiento (en el caso de la Universidad de Alcalá dirigiéndose al correo secre.gene@uah.es), identificándose (adjuntando copia del DNI o pasaporte) y detallando la petición en la que se concreta su solicitud (art. 17 LOPD).

La ausencia o demora de respuesta, por parte del responsable, en los plazos legal y reglamentariamente establecidos, provoca inmediatamente que el titular de los datos pueda solicitar la tutela por vulneración de sus derechos ante la Agencia Española de Protección de Datos.

  • Derecho de acceso (art.15 LOPD)

    El titular de los datos puede solicitar información sobre el tratamiento de sus datos personales, sobre quién los trata, cómo y si se han comunicado o se van a comunicar a un tercero.

    Este derecho es gratuito, pero no se podrá ejercer en un intervalo menor a doce meses, salvo que se justifique un interés legítimo para ejercitarlo antes (art. 15.3 LOPD y arts. 28-30 RLOPD).

    Por su parte, el Responsable, o el Encargado, deberán responder al ejercicio de este derecho en el plazo de un mes desde que se recibe la petición (art. 29 RLOPD), incluso aunque no se tenga información del solicitante, al que así deberá hacérselo saber.

  • Derechos de rectificación, cancelación y oposición (art. 16 LOPD)

    El titular de los datos podrá solicitar que los mismos sean rectificados o cancelados cuando los datos no cumplan con los principios de la protección de datos personales, o bien, sean inexactos o incompletos.

    El derecho de oposición, se reconoce al interesado “previa petición y sin gastos”, y está destinado, básicamente, a la oposición del titular de los datos a que sus datos sean tratados con fines de publicidad y prospección comercial (arts. 30 y 31 LOPD y arts. 34-35 RLOPD).

    En estos casos, el Responsable del tratamiento, o Encargado en su caso, tiene que cumplir en un plazo de diez días, tras recibir la solicitud del afectado.

    La petición de rectificación y cancelación debe ser atendida con la modificación pertinente ya efectuada, en el citado plazo de diez días (art. 16 y 2 LOPD y arts. 32 y 33 RLOPD).

    Cuando exista una imposibilidad técnica de destruir la información en los casos en los que legalmente proceda y se haya solicitado su cancelación, se procederá al llamado derecho de “bloqueo” de los datos (art. 16.3 LOPD).

    En íntima relación con los derechos de cancelación y oposición, el nuevo Reglamento General de Protección de Datos europeo va a reconocer el llamado “derecho al olvido” (art. 17) al que también denomina “derecho de supresión”. En líneas generales, este derecho permite que los titulares de los datos puedan solicitar su supresión aunque inicialmente se hubieran tratado de forma lícita (con su consentimiento o al amparo de alguna norma). Permite que los datos se supriman, especialmente, si los mismos se encuentran en Internet.

  • Derecho de consulta al Registro General de Protección de Datos (art. 14 LOPD)

    La propia LOPD reconoce igualmente la posibilidad de este derecho.

    Aquí no es necesario que se ejercite por su titular, sino que puede ser ejercitado por parte de cualquier persona, y permite el acceso al Registro General de Protección de Datos, que es de consulta pública y gratuita, con el fin de conocer los ficheros de datos existentes, así como sus finalidades y los responsables de su tratamiento.

  • Derecho a impugnación de valoraciones (art. 13 LOPD)

    El titular de los datos podrá impugnar aquéllas valoraciones que tengan una consecuencia jurídica y que se hayan realizado por un tratamiento de sus datos personales destinado a valorar determinados aspectos de su personalidad.

  • Derecho a indemnización (art. 19 LOPD)

    La propia LOPD reconoce igualmente la posibilidad de este derecho para el caso de que el interesado vea lesionado su derecho a la protección de datos.

    Para solicitar la indemnización, el procedimiento a seguir será diferente si estamos ante ficheros de titularidad pública o ficheros de titularidad privada: Si son ficheros de titularidad pública, la indemnización se pedirá conforme a la legislación sobre responsabilidad de las Administraciones Públicas. Y, si son ficheros de titularidad privada, la indemnización se reclamará por la jurisdicción ordinaria.

PROTECCIÓN DE DATOS

Obligaciones

El derecho a la protección de datos personales será de obligado cumplimiento y respeto tanto por poderes públicos como por terceros privados, estando especialmente obligados todo aquél que trate datos personales.

Como regla general, serán obligados el Responsable del tratamiento de datos, y, en su caso, respecto de algunas obligaciones concretas, el Encargado que actúa en su nombre. Pero los usuarios de los datos personales, las personas que trabajan o las que tratan con los datos personales, también tienen una serie de obligaciones.

Entre las obligaciones a cumplir por parte del Responsable podríamos agruparlas en tres grandes bloques: las relacionadas con el trámite administrativo consistente en la notificación del tratamiento de datos efectuado a la AEPD; las relacionadas con el cumplimiento de los principios y derechos de la normativa de protección de datos; y, las últimas, pero las más importantes, las relacionadas con las medidas de seguridad respecto de los tratamientos de datos efectuados.

En esta página web se podrán encontrar, además de las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, los Procedimientos a seguir en materia de seguridad del tratamiento de los datos personales, entre los que destaca el “Procedimiento de Gestión de Incidencias” que puede utilizar toda la Comunidad universitaria ante cualquier incidente que se produzca y del que tengan conocimiento a la hora de tratar datos personales.

  • OBLIGACIONES DE LOS USUARIOS DE LOS DATOS

    Los usuarios de los datos personales deberán, en primer lugar, cumplir con el conocido Deber de secreto (art. 10 LOPD) respecto de la información tratada.

    Y, en segundo lugar, los sujetos que traten datos personales deberán cumplir con las medidas de seguridad (art. 9 LOPD) establecidas por el Responsable, o por el Encargado. Las medidas de seguridad serán las apropiadas en función del tipo de dato manejado. Dichas medidas para el caso de la Universidad de Alcalá se encuentran recogidas en las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, que también se encuentran en esta página web.

  • OBLIGACIONES DEL RESPONSABLE

    a) Deber de secreto (art. 10 LOPD)

    El Responsable debe ser el primero en cumplir con el deber de secreto o confidencialidad respecto de la información que esté tratando.

    b) Inscripción de ficheros o notificación de los tratamientos de datos efectuados (art. 4 LOPD)

    Hasta que no sea de aplicación el nuevo Reglamento europeo de Protección de datos (mayo de 2018), el Responsable deberá inscribir los ficheros de datos personales que maneje en el Registro de la Autoridad de protección de datos correspondiente.

    Para la creación de ficheros de titularidad pública, como son los de la Universidad de Alcalá, la LOPD exige, entre otros requisitos, su aprobación por disposición general y su publicación en el BOE (arts. 20-24 LOPD).

    La solicitud de inscripción debe contener necesariamente los siguientes datos o campos: responsable del fichero, finalidad del fichero, ubicación, tipo de datos de carácter personal que contiene, medidas de seguridad (con indicación del nivel básico, medio o alto exigible) y las cesiones o trasferencias de datos de carácter personal que se prevean realizar (arts. 20.2 y 26.2 LOPD).

    c) Cumplimiento de los principios de tratamiento de datos personales

    El Responsable del tratamiento de datos personales debe cumplir con los principios que aseguren un tratamiento de datos lícito y, por lo tanto, podrá tratar datos sólo cuando sean adecuados, pertinentes y no excesivos en relación con una finalidad determinada explícita y legítima, y contar con el correspondiente consentimiento del titular de los datos. Todo ello, claro está, con las correspondientes excepciones legales ya analizadas.

    d) Dar respuesta a las solicitudes de ejercicio de los derechos ARCO

    Es obligación del Responsable -aunque esta obligación también se puede hacer recaer en el Encargado del tratamiento, informando de ello al titular de los datos- el responder a las solicitudes de ejercicio de las facultades propias del derecho a la protección de datos, esto es, de los derechos ARCO.

    e) Medidas de seguridad (art. 9 LOPD)

    La normativa de protección de datos establece que los tratamientos de datos personales, ya sean manuales o automatizados, deben cumplir con las medidas de seguridad necesarias que garanticen su integridad y eviten su alteración, pérdida y tratamiento o acceso no autorizado.

    Estas medidas de seguridad, tanto de índole técnica como organizativa se recogen en un documento interno del sujeto Responsable del tratamiento denominado “Documento de seguridad” (art. 88 RLOPD). Este Documento es de obligada tenencia y su no disposición supone una infracción en materia de protección de datos.

    El citado Documento será de obligado cumplimiento para el personal que trabaje para el Responsable y que tenga acceso a datos de carácter personal, esto es, los usuarios (Véanse las Circulares sobre “Funciones y Obligaciones” de los usuarios).

    Este Documento deberá contener, como mínimo (art. 88.3 RLOPD):

    • Ámbito de aplicación, con especificación detallada de los recursos protegidos.
    • Medidas, normas, procedimientos, reglas y estándares que garanticen los niveles de seguridad.
    • Funciones y obligaciones del personal.
    • Estructura de los ficheros y descripción de los sistemas que los tratan.
    • Procedimientos de notificación, gestión y respuesta ante incidencias.
    • Procedimientos de realización de copias de respaldo y recuperación de datos.

    El Documento de seguridad, al ser un documento de uso interno de la Universidad, sólo está disponible para los Responsables de seguridad nombrados por el Secretario/a General a tal efecto.

    El RLOPD establece las medidas de seguridad a adoptar en función del tipo de datos personales que estemos tratando y las graduará en tres niveles: básico, medio y alto. Estas medidas son acumulativas, esto es, todos los ficheros gozan de las medidas de nivel básico, y las de nivel alto a su vez tendrán que aplicar las de nivel medio (art. 81 RLOPD):

    • Nivel básico: se aplica a todos los ficheros que contengan datos de carácter personal. Serán medidas como, por ejemplo, el cambio de contraseñas en periodos no superiores a un año o la realización de copias de respaldo semanales (arts. 89-94 y 105-108 RLOPD).
    • Nivel Medio: afecta a todos los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, Servicios financieros, solvencia patrimonial y crédito, así como los que ofrezcan un perfil del titular de los datos (como, por ejemplo, un curriculum). Serán medidas, como por ejemplo, la designación de un Responsable de seguridad o la realización de una Auditoría, interna o externa, bienal (arts. 95-100 y 109-110 RLOPD).
    • Nivel Alto: aplicable a ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales, sin consentimiento de los afectados o los relativos a las medidas de violencia doméstica. Serán medidas, como por ejemplo, la existencia de un Registro de accesos a la información o el cifrado de los datos en las transmisiones que se realicen de los mismos (arts. 101-104 y 111-114 RLOPD).

COMISIÓN PD UAH

Composición

A continuación se exponen varios criterios que se deben de tener en cuenta.

Debe saber lo siguiente en esta materia:

1.- El cumplimiento de la ley es su responsabilidad

2.- Si utiliza y/o tiene algún fichero que contenga datos de carácter personal puede estar sujeto a la aplicación de la ley

3.- ES FÁCIL cumplir la ley siguiendo unas pautas básicas

La Universidad le ayudará, siga nuestras indicaciones y le será más fácil

COMISIÓN PD UAH

Memorias

FICHEROS UAH

1.Asesoría Jurídica

Procedimientos judiciales y administrativos. Personal de la Universidad de Alcalá y terceros implicados en procedimientos administrativos y judiciales.

2. Archivo Universitario

Descripción y localización de los expedientes de los alumnos de la UAH, de PAS para la provisión de plazas de profesorado contratado y de los grupos docentes de la UAH.

3. Registro General

Registro de Entrada y Salida de Documentos en la Universidad.

4. Títulos

Expedición de títulos oficiales universitarios a alumnos de la Universidad de Alcalá.

5. Gestión Económica y Financiera

Bases de datos de gestión financiera, contabilidad presupuestaria y contabilidad financiera.

6. Pruebas de Acceso

Gestión necesaria para resolver la composición de los tribunales que han de juzgar las pruebas de acceso a la Universidad.

7. Expediente de Alumnos de Primer y Segundo Ciclos

Gestión de matrícula en cursos académicos. Calificaciones traslados.

8. Doctorado

Gestión del alumnado. Contiene datos de identificación de alumnos y de los estudios que realizan.

9. Estudios Propios

Gestión del alumnado. Contiene datos de identificación de alumnos y de los estudios que realizan.

10. Control horario del Personal

Control horario del personal de la Universidad de Alcalá.

11. Prácticas de Empleo

Gestión de la tramitación de ofertas de empleo y prácticas en empresas.

12. Usuarios del Correo Electrónico

 

13. Publicaciones

14. Tarjeta Inteligente. Carné Universitario

15. Prevención y Vigilancia de la Salud

16. Docencia Virtual

17. Directorio de Relaciones Internacionales (RRII) y Alumnos Sócrates

18. Nóminas

19. Matriculación e Ingresos

20. Becas y Ayudas

21. Certificados IRPF

22. Expedientes Alumnos (manual)

23. Expedientes de Personal (manual)

24. Gestión Recursos Humanos (RRHH)

25. Gestión de la Investigación

26. Gestión Bibliotecaria

27. Deportes

28. Videovigilancia

29. Defensor Universitario

30. Censo Electoral

31. Comunica

32. Evaluación Docente del Profesorado

 

DOCUMENTACIÓN ADICIONAL

Modelos

En este apartado encontrará los modelos que ha elaborado la Comisión de Protección de Datos de la UAH para adjuntar junto a los Contratos y Convenios que realice la UAH con Terceros para garantizar la protección de datos personales:

DOCUMENTACIÓN ADICIONAL

Procedimientos

En este apartado encontrará el Procedimiento elaborado por la Comisión de Protección de Datos de la UAH, y que ha sido distribuido a todo el personal de la Universidad:


Enlaces de interés

Protección de Datos de Carácter Personal

Pza. San Diego, s/n - 28801 Alcalá de Henares (Madrid).

Teléfono:34 91 885 40 00

Correo electrónico:  protecciondedatos@uah.es;