Codigo Tiipo Univ Castilla Mancha 112009

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha
16 noviembre 2009 CT/0003/2004
CdigodeconductadeproteccindedatospersonalesenlaUniversidaddeCastillaLaMancha
ndice
Prembulo................................................................................................................................................................3 TtuloIDisposicionesGenerales....................................................................................................5 Artculo1.Objeto...................................................................................................................................................5 Artculo2.mbitodeaplicacin.....................................................................................................................5 Artculo3.Definiciones.......................................................................................................................................5 Artculo4.Cmputodeplazos. .........................................................................................................................8 TtuloIIPrincipiosdeproteccinyderechosdelaspersonas............................................9 Artculo5.Finalidaddelosdatos....................................................................................................................9 Artculo6.Exactituddelosdatos....................................................................................................................9 Artculo7.VerificacindedatosensolicitudesformuladasalasAdministracionespblicas. ....................................................................................................................................................................................10 Artculo8.Cancelacindelosdatos. ..........................................................................................................10 Artculo9.Informacinenlarecogidadedatos....................................................................................10 Artculo10.Consentimientodelafectado................................................................................................11 Artculo11.Deberdesecreto........................................................................................................................12 Artculo12.Comunicacindedatos...........................................................................................................12 Artculo13.Comunicacindedatospersonalesdeestudiantesytrabajadores......................13 Artculo14.Comunicacindedatosconfinesdeinvestigacin.....................................................15 Artculo15.Accesoalosdatosporcuentadetercerosparalaprestacindeserviciosala Universidad...........................................................................................................................................................15 Artculo 16. La Universidad de CastillaLa Mancha como encargada de tratamiento de datosdeotrasinstituciones. ...........................................................................................................................16 Artculo17.Derechodeacceso.....................................................................................................................16 Artculo18.Derechoderectificacinycancelacin. ............................................................................17 Artculo19.Derechodeoposicin...............................................................................................................17 Artculo20.Procedimientodeoposicin,acceso,rectificacinocancelacin..........................18 Artculo21.Transferenciasinternacionalesdedatos.........................................................................19 TtuloIIIGestindelosficheroscondatosdecarcterpersonal....................................20 CaptuloIDisposicionesgenerales..............................................................................................20 Artculo22.Procedimientodecreacin,modificacinosupresindeficheros......................20 Artculo23.Nivelesdeseguridad................................................................................................................21 Artculo24.Aplicacindelosnivelesdeseguridad.............................................................................21 Artculo25.Responsabledeseguridad.....................................................................................................22
1
Artculo26.Ficherostemporalesocopiasdetrabajodedocumentos. ........................................22 Artculo27.Documentodeseguridad........................................................................................................22 CaptuloIIMedidasdeseguridaddenivelmedio..................................................................24 Artculo28.Funcionesyobligacionesdelpersonal.............................................................................24 Artculo29.Identificacinyautenticacin..............................................................................................24 Artculo30.Controldeacceso.......................................................................................................................25 Artculo31.Controldeaccesofsico...........................................................................................................25 Artculo32.Rgimendetrabajofueradeloslocalesdelaubicacindelfichero....................26 Artculo33.Gestindesoportesydocumentos....................................................................................26 Artculo34.Copiasderespaldoyrecuperacin....................................................................................27 Artculo35.Accesoadatosatravsderedesdecomunicaciones.................................................27 Artculo36.Registrodeincidencias...........................................................................................................27 Artculo37.Auditora.......................................................................................................................................28 CaptuloIIIMedidasdeseguridaddenivelalto......................................................................28 Artculo38.Gestinydistribucindesoportes.....................................................................................28 Artculo39.Registrodeaccesos...................................................................................................................29 Artculo40.Accesoaladocumentacin....................................................................................................29 TtuloIVEvaluacindelcdigodeconducta ............................................................................30 Artculo41.Difusinyevaluacindelasatisfaccin...........................................................................30 Artculo42.Controldeaplicacin...............................................................................................................30 Artculo43.Memoriadeactividades..........................................................................................................30 Disposicinfinal..................................................................................................................................................31 AnexoI.....................................................................................................................................................................32 AnexoII...................................................................................................................................................................33 AnexoIII.................................................................................................................................................................34 AnexoIV..................................................................................................................................................................35 AnexoV...................................................................................................................................................................36 AnexoVI..................................................................................................................................................................37 AnexoVII................................................................................................................................................................39 AnexoVIII..............................................................................................................................................................40 AnexoIX..................................................................................................................................................................42 AnexoX...................................................................................................................................................................43 AnexoXI..................................................................................................................................................................45 AnexoXII................................................................................................................................................................46 AnexoXIII...............................................................................................................................................................47
2
Prembulo
La generalizacin del uso de los medios electrnicos, informticos y telemticos supone unos beneficios evidentes para los ciudadanos, aunque tambin incrementa el riesgo de vulnerabilidad de los datos almacenados que debe minimizarse con la adopcin de medidas de seguridad que generen confianza en las personas afectadas y en los propios usuariosdelasaplicaciones. Atalefecto,elartculo18.4delaConstitucinEspaolayelTribunalConstitucionalensu sentencia292/2000establecenelderechofundamentalautnomoalaproteccindedatos personales.Estederechoexcedeelmbitopropiodelderechofundamentalalaintimidad y se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informtica es as un derecho a controlar el uso de los mismos datos insertosenunprogramainformticoycomprende,entreotrosaspectos,laoposicindel ciudadano a que determinados datos personales sean utilizados para fines distintos de aquellegtimoquejustificsuobtencin. Comodesarrolloalmandatoconstitucional,laLeyOrgnica15/1999,de13dediciembre, deProteccindeDatosdeCarcterPersonal(LOPD),prevensuartculo9,laobligacin delresponsabledelficherodeadoptarlasmedidasdendoletcnicayorganizativasque garanticenlaseguridaddelosdatosdecarcterpersonalyevitensualteracin,prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturalezadelosdatosalmacenadosylosriesgosaqueestnexpuestos,yaprovengande laaccinhumanaodelmediofsicoonatural. Deformavoluntaria,elartculo32delaLeyOrgnica15/1999deProteccindeDatosde Carcter Personal permite adoptar cdigos de conducta que establezcan las condiciones de organizacin, rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamientoy usodelainformacinpersonal,ascomolasgarantas,ensumbito,parael ejerciciodelosderechosdelaspersonasconplenorespetoalosprincipiosydisposiciones delaLeyysusnormasdedesarrollo. EstemecanismodeautorregulacinhasidoconsideradoporlaUniversidaddeCastillaLa Manchacomoelmejorinstrumentoparaconseguiruntripleobjetivo:primero,cumplirde la forma ms sencilla y segura con la legislacin correspondiente a travs de un documento nico que rena todos los elementos esenciales, segundo, aumentar la proteccin de los datos personales almacenados en ficheros incrementando las medidas de seguridad legalmente exigidas, y tercero, servir como material educativo para la comunidad universitaria, con especial inters en los estudiantes, contribuyendo al conocimientocorrectodeestederechofundamentalalaproteccindedatospersonalesy seautilizadoenotrosmbitosyensuposteriorvidaprofesional.
Con objeto de facilitar su compresin y su cumplimiento se han unificado principios de proteccinymedidasdeseguridad.Esconvenientedestacar,porejemplo,laobligacinde incluir una nota informativa sobre la finalidad de los datos personales recogidos en cualquierformularioaunquenovayanaformarpartedeningnfichero,olaaplicacinde lamayoradelasmedidasdeseguridaddelRealDecreto1720/2007de21dediciembre, porelqueseapruebaelReglamentodedesarrollodelaLOPD,atodoslosficherosdela Universidad de CastillaLa Mancha aunque no sea exigible por la clase de datos almacenados.Estadecisinhaconducidoaquealamayoradelosficherosselesapliquen lasmedidasdeseguridaddenivelalto,ofreciendounamayorseguridad,aunqueelcitado Reglamentonoloexigeparaestetipodeficheros. Elcarcterdinmicodelavidauniversitariaaconsejadisponerdemecanismosderevisin que permitan la actualizacin constante de estas medidas de seguridad. A tal efecto, la aplicacindeestecdigodeconductaylalegislacinvigente alos ficheroscondatosde carcterpersonalenlaUniversidaddeCastillaLaManchaestarsometido,ademsdeala Agencia Espaola de Proteccin de Datos (AEPD), a un doble control aadido: internamente, a travs de una comisin de la Universidad y de forma externa por una auditorabienal.
TtuloI DisposicionesGenerales
Artculo1.Objeto. Este cdigo de conducta tiene por objeto garantizar y proteger, en lo que concierne al tratamientodelosdatospersonales,laslibertadespblicasylosderechosfundamentales delaspersonasfsicas,yespecialmentedesuhonoreintimidadpersonalyfamiliar. Artculo2.mbitodeaplicacin. 1.Elpresentecdigodeconductaserdeaplicacinalosdatosdecarcterpersonalque figuren registrados en soportes fsicos de la Universidad de CastillaLa Mancha, que los hagansusceptiblesdetratamiento,yatodamodalidaddeusoposteriordeestosdatos. 2. La relacin actualizada de ficheros y tratamientos de datos de carcter personal sometidos a este cdigo de conducta se puede obtener en las direcciones de Internet www.uclm.es/psiywww.agpd.es. Artculo3.Definiciones. 1.Alosefectosdelpresentecdigodeconductaseentenderpor: a) Afectado o interesado: persona fsica titular de los datos que sean objeto de tratamiento. b) Cancelacin: procedimiento en virtud del cual el responsable cesa en el uso de los datos.Lacancelacinimplicarelbloqueodelosdatos,consistenteenlaidentificacin yreservadelosmismosconelfindeimpedirsutratamientoexceptoparasupuestaa disposicindelasAdministraciones Pblicas,Juecesy Tribunales,parala atencinde las posibles responsabilidades nacidas del tratamiento y slo durante el plazo de prescripcindedichasresponsabilidades.Transcurridoeseplazodeberprocedersea lasupresindelosdatos. c)Cesinocomunicacindedatos:tratamientodelosdatosquesuponesurevelacina unapersonadistintadelinteresado. d) Consentimiento del interesado: toda manifestacin de voluntad, libre, inequvoca, especficaeinformada,mediantelaqueelinteresadoconsientaeltratamientodedatos personalesqueleconciernen. e)Datodisociado:aqulquenopermitelaidentificacindeunafectadoointeresado.
f) Datos de carcter personal: cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadasoidentificables. g) Datos de carcter personal relacionados con la salud: las informaciones concernientesalasaludpasada,presenteyfutura,fsicaomental,deunindividuo.En particular,seconsiderandatosrelacionadosconlasaluddelaspersonaslosreferidosa suporcentajedediscapacidadyasuinformacingentica. h) Destinatario o cesionario: la persona fsica o jurdica pblica o privada u rgano administrativo,alqueserevelenlosdatos.Podrnsertambindestinatarioslosentes sinpersonalidadjurdicaqueacteneneltrficocomosujetosdiferenciados. i) Encargado del tratamiento: la persona fsica o jurdica, pblica o privada, u rgano administrativoque,solooconjuntamenteconotros,tratedatospersonalesporcuenta de la Universidad de CastillaLa Mancha, como consecuencia de la existencia de una relacinjurdicaquelevinculaconlauniversidadydelimitaelmbitodesuactuacin para la prestacin de un servicio. Podrn ser tambin destinatarios los entes sin personalidadjurdicaqueacteneneltrficocomosujetosdiferenciados. j) Fichero: todo conjunto organizado de datos de carcter personal, que permita el accesoalosdatosconarregloacriteriosdeterminados,cualquieraquefueralaformao modalidaddesucreacin,almacenamiento,organizacinyacceso. k) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a su identidad fsica, fisiolgica,psquica,econmica,culturalosocial.Unapersonafsicanoseconsiderar identificablesidichaidentificacinrequiereplazosoactividadesdesproporcionados. l)Procedimientodedisociacin:todotratamientodedatospersonalesquepermitala obtencindedatosdisociados. m) Responsable interno del fichero o del tratamiento: persona de la Universidad de CastillaLa Mancha que por delegacin del Rector realiza las tareas encargadas al responsabledelfichero. n) Tercero: la persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, de la Universidad de CastillaLa Mancha, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa de la Universidad de CastillaLa Mancha o del encargado del tratamiento. Podrn ser tambin terceros los entes sin personalidad jurdica que acteneneltrficocomosujetosdiferenciados. ) Transferencia internacional de datos: tratamiento de datos que supone una transmisin de los mismos fuera del territorio del Espacio Econmico Europeo, bien constituyaunacesinocomunicacindedatos,bientengaporobjetolarealizacinde untratamientodedatosporcuentadelaUniversidaddeCastillaLaMancha. o) Tratamiento de datos: cualquier operacin o procedimiento tcnico, sea o no automatizado,quepermitalarecogida,grabacin,conservacin,elaboracin,consulta,
6
utilizacin, modificacin, cancelacin, bloqueo o supresin, as como las cesiones de datosqueresultendecomunicaciones,consultas,interconexionesytransferencias. 2.Enparticular,enrelacinconlodispuestoenelttuloIIIdeestecdigodeconducta seentenderpor: a) Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. En su caso, incluirn las autorizaciones o funciones que tenga atribuidasunusuariopordelegacindelresponsableinternodelficherootratamiento odelresponsabledeseguridad. b)Autenticacin:procedimientodecomprobacindelaidentidaddeunusuariooenel accesoaunrecurso. c)Contrasea:informacinconfidencial,frecuentementeconstituidaporunacadenade caracteresquepuedeserusadaenlaautenticacindeunusuario. d) Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permiteaccederadatosorecursos. e)Copiaderespaldo:copiadelosdatosdeunficheroautomatizadoenunsoporteque posibilitesurecuperacin. f) Documento: todo escrito, grfico, sonido, imagen o cualquier otra clase de informacin que puede ser tratada en un sistema de informacin como una unidad diferenciada. g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realizacindeuntratamiento. h)Identificacin:procedimientodereconocimientodelaidentidaddeunusuario. i) Incidencia: cualquier anomala que afecte o pudiera afectar a la seguridad de los datos. j)Perfildeusuario:accesosautorizadosaungrupodeusuarios. k)Recurso:cualquierpartecomponentedeunsistemadeinformacin. l) Responsable de seguridad: persona o personas a las que el responsable interno del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridadaplicables. m)Sistemadeinformacin:conjuntodeficheros,tratamientos,programas,soportesy equipos empleados para el almacenamiento y tratamiento de datos de carcter personal. n) Soporte: objeto fsico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabaryrecuperardatos.
7
) Transmisin de documentos: cualquier traslado, comunicacin, envo, entrega o divulgacindelainformacincontenidaenelmismo. o) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la consideracin de usuarios los procesos que permitan acceder a datos o recursos sin identificacindeunusuariofsico. Artculo4.Cmputodeplazos. Enlossupuestosenqueestecdigosealeunplazopordassecomputarnnicamente loshbiles.Cuandoelplazoseapormeses,secomputarndefechaafecha.
TtuloII Principiosdeproteccinyderechosdelas personas

Artculo5.Finalidaddelosdatos. 1. Losdatosdecarcterpersonalslosepodrnrecogerparasutratamiento,ascomo someterlosadichotratamiento,cuandoseanadecuados,pertinentesynoexcesivosen relacinconelmbitoylasfinalidadesdeterminadas,explcitasylegtimasparalasque sehayanobtenido.Dichosdatosserntratadosdeformalealylcita. 2. Los datos de carcter personal objeto de tratamiento no podrn usarse para finalidadesincompatiblesconaquellasparalasquelosdatoshubieransidorecogidos. Noseconsiderarincompatibleeltratamientoposteriordestosconfineshistricos, estadsticosocientficos. Artculo6.Exactituddelosdatos. 1. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Si los datos fueran recogidosdirectamentedelafectado,seconsiderarnexactoslosfacilitadosporste. 2.Silosdatosdecarcterpersonal registrados resultaranserinexactos,entodooen parte,oincompletos,serncanceladosysustituidosdeoficioporloscorrespondientes datos rectificados o completados en el plazo de diez das desde que se tuviese conocimiento de la inexactitud, salvo que la legislacin aplicable al fichero establezca unprocedimientoounplazoespecficoparaello. 3. Cuando los datos hubieran sido comunicados previamente, la Universidad de CastillaLa Mancha notificar al cesionario, en el plazo de diez das, la rectificacin o cancelacinefectuada,siemprequeelcesionarioseaconocido. En el plazo de diez das desde la recepcin de la notificacin, el cesionario que mantuvieraeltratamientodelosdatos,deberprocederalarectificacinycancelacin notificada. Estaactualizacindelosdatosdecarcterpersonalnorequerircomunicacinalguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidosenlaLeyOrgnica15/1999,de13dediciembreydelasfacultadesquea losafectadosreconoceelttuloIIIdelRealDecreto1720/2007,de21dediciembre,por elqueseapruebaelReglamentodedesarrollodelaLOPD.
Artculo 7. Verificacin de datos en solicitudes formuladas a las Administraciones pblicas. Cuando se formulen solicitudes pormedios electrnicos en las que el interesado declare datospersonalesqueobrenenpoderdelasAdministracionespblicas,laUniversidadde CastillaLa Mancha podr efectuar en el ejercicio de sus competencias las verificaciones necesariasparacomprobarlaautenticidaddelosdatos. Artculo8.Cancelacindelosdatos. 1. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Noobstante,podrnconservarseduranteeltiempoenquepuedaexigirsealgntipode responsabilidadderivadadeunarelacinuobligacinjurdicaodelaejecucindeun contratoodelaaplicacindemedidasprecontractualessolicitadasporelinteresado. Una vez cumplido el perodo al que se refieren los prrafos anteriores, los datos slo podrnserconservadospreviadisociacindelosmismos,sinperjuiciodelaobligacin debloqueoprevistaenlaLeyOrgnica15/1999,de13dediciembre,yeneldelReal Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollodelaLOPD. 2.Losdatosdecarcterpersonalserntratadosdeformaquepermitanelejerciciodel derechodeacceso,entantonoprocedasucancelacin. Artculo9.Informacinenlarecogidadedatos. 1. Los interesados a los que se soliciten datos personales debern ser previamente informadosdemodoexpreso,precisoeinequvoco: a.Delaexistenciadeunficherootratamientodedatosdecarcterpersonal,dela finalidaddelarecogidadestosydelosdestinatariosdelainformacin. b. Del carcter obligatorio o facultativo de su respuesta a las preguntas que les seanplanteadas. c. De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos. d.Delaposibilidaddeejercitarlosderechosdeacceso,rectificacin,cancelaciny oposicin. e.Delaidentidadydireccindelresponsabledeltratamiento. 2.Aunqueelartculo5delaLOPDestablecequenosernecesarialainformacindelos apartados b), c) y d) anteriores si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban,laUniversidaddeCastillaLaManchainformarsiemprealosinteresadosde
10
laposibilidaddeejercitarlosderechosdeacceso,rectificacin,cancelacinyoposicin, ydelrganoanteelqueseejercitantalesderechos. 3. Esta informacin en la recogida de datos personales slo es necesaria cuando los mismos vayan a formar parte de un fichero de la Universidad de CastillaLa Mancha perodadoqueelinteresadopuedetenerdudascuandoselesolicitandatospersonales acerca de si estos van a formar parte de algn fichero para su tratamiento, la Universidad informar siempre de la finalidad de los datos, cuando sean recogidos a travsdeunformulario,especificandosivanaformarparteonodelalgnficherodela Universidad. 4. Conelfindellevarelderechodeinformacinasumximaexpresin,laUniversidad informardelaexistenciadeestecdigodeconductacuandorecojadatospersonalesa travsdeformularios,indicandosuubicacinenInternetenlawebdelaUniversidady delaAEPD,parasuconsulta,ysetendrasudisposicinunacopiagratuitadelcdigo. 5. Cuandolosdatosdecarcterpersonalnohayansidorecabadosdelinteresado,ste deber ser informado de forma expresa, precisa e inequvoca, por la Universidad de CastillaLa Manchadentrodelostresmesessiguientes al momentoderegistrodelos datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento,delaprocedenciadelosdatos,delaposibilidaddeejercitarlosderechos de acceso, rectificacin, cancelacin y oposicin, y de la identidad y direccin del responsabledeltratamiento. 6. En el anexo I se incluye la clusula informativa de la carta a los estudiantes de enseanza secundaria cuyos datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de CastillaLa Mancha, donde se les comunica la clave de acceso para la gestin administrativa, a travs de Internet, de su acceso a la Universidadconlostrminosdelpuntoanterior. 7. EnlaorganizacindecursosporlaFundacinGeneraldelaUniversidaddeCastilla La Mancha que tengan un reconocimiento como ttulo propio de la Universidad o su convalidacincomocrditosdelibreeleccin,seinformarenlarecogidadedatospor partedelaFundacindeestacesindedatosparaesafinalidad. 8. En los anexos II, III y V se incluyen las clusulas informativas de los formularios dondeserecogenlosdatosdelosestudiantesydelostrabajadoresensuingresoenla Universidad, y la clusula informativa de los formularios donde se recogen datos personalesquenovanaformarpartedeningnfichero. Artculo10.Consentimientodelafectado. 1. El tratamiento de los datos de carcter personal requerir el consentimiento inequvocodelafectado,salvoquelaleydispongaotracosa. 2. Noserprecisoelconsentimientocuandolosdatosdecarcterpersonalserecojan para el ejercicio de las funciones propias de la Universidad en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacinnegocial,laboraloadministrativayseannecesariosparasumantenimientoo
11
cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del artculo 7, apartado 6, de la LOPD, o cuando los datos figuren en fuentes accesibles al pblico, que recoge el artculo 7 del RealDecreto1720/2007de21dediciembre,porelqueseapruebaelReglamentode desarrollo de la LOPD, y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por la Universidad de CastillaLa Mancha o por el del tercero a quiensecomuniquenlosdatos,siemprequenosevulnerenlosderechosylibertades fundamentalesdelinteresado. 3. Elconsentimientopodrserrevocadocuandoexistacausajustificadaparaelloyno seleatribuyanefectosretroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal supuesto, la Universidad excluirdeltratamientolosdatosrelativosalafectado. 5. Respectoalosdatospersonalesrelativosalasalud,estosslopodrnserrecabados y tratados cuando por razones de inters general as lo disponga una Ley o el interesadoconsientaexpresamente. 6. Sloconelconsentimientoexpresoyporescritodelafectadopodrnserobjetode tratamientolosdatosdecarcterpersonalquerevelenlaideologa,afiliacinsindical, religin y creencias. Cuando en relacin con estos datos se proceda a recabar el consentimiento,seadvertiralinteresadoacercadesuderechoanoprestarlo. Artculo11.Deberdesecreto. 1. Toda persona que intervenga en cualquier fase del tratamiento de los datos de carcterpersonalestobligadoalsecretoprofesionalrespectodelosmismosyaldeber deguardarlos,obligacionesquesubsistirnaundespusdefinalizarsusrelacionescon laUniversidaddeCastillaLaMancha. 2. El incumplimiento del deber de secreto ser sancionado de conformidad con lo previstoenlalegislacinvigente. Artculo12.Comunicacindedatos. 1.Losdatosdecarcterpersonalobjetodeltratamientoslopodrnsercomunicadosa unterceroparaelcumplimientodefinesdirectamenterelacionadosconlasfunciones legtimasdelcedenteydelcesionarioconelprevioconsentimientodelinteresado. 2. Elconsentimientoexigidoenelapartadoanteriornoserpreciso,sinperjuiciodelo dispuestoenelartculo10delRealDecreto1720/2007,de21dediciembre,porelque seapruebaelReglamentodedesarrollodelaLOPD,enlossiguientessupuestos: a)Cuandolacesinestautorizadaenunaley. b)Cuandosetratededatosrecogidosdefuentesaccesiblesalpblico.
12
c)Cuandoeltratamientorespondaalalibreylegtimaaceptacindeunarelacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacinsloserlegtimaencuantoselimitealafinalidadquelajustifique. d)CuandolacomunicacinquedebaefectuarsetengapordestinatarioalDefensor delPueblo,elMinisterioFiscalolosJuecesoTribunalesoelTribunaldeCuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. f)Cuandolacesindedatosdecarcterpersonalrelativosalasaludseanecesaria parasolucionarunaurgenciaquerequieraaccederaunficheroopararealizarlos estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidadestataloautonmica. 3.Sernuloelconsentimientoparalacomunicacindelosdatosdecarcterpersonala untercero,cuandolainformacinquesefacilitealinteresadonolepermitaconocerla finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de actividaddeaquelaquiensepretendencomunicar. 4. El consentimiento para la comunicacin de los datos de carcter personal tiene tambinuncarcterderevocable. 5. Aqul a quien se comuniquen los datos de carcter personal se obliga, por el solo hechodelacomunicacin,alaobservanciadelasdisposicionesdelaLOPD. 6. Silacomunicacinseefectaprevioprocedimientodedisociacin,noseraplicable loestablecidoenlosapartadosanteriores. Artculo13.Comunicacindedatospersonalesdeestudiantesytrabajadores. 1. La comunicacin de datos a terceros slo se producir cuando una ley obligue a la Universidadaesacomunicacinoelinteresadoconsienta. 2. La Universidad, en cumplimiento de la legislacin vigente, realiza las siguientes comunicaciones para el ejercicio de las funciones que tienen atribuidas y en los supuestosycondicionesestablecidosenlanormativacorrespondiente: a.Datosdeestudiantes: i.MinisteriodeEducacin ii.ConsejodeUniversidades
13
iii. Consejera de Educacin y Ciencia de la Junta de Comunidades de CastillaLaMancha iv. Tesorera General de la Seguridad Social para los estudiantes menores de28aos b.Datosdeempleados: i.ConsejodeUniversidades ii.AgenciaEstataldeAdministracinTributaria iii.TesoreraGeneraldelaSeguridadSocial iv.MUFACE v.DireccinGeneraldeCostesdePersonalyPensionesPblicas vi.RegistroCentraldePersonal vii.SindicaturadeCuentasdeCastillaLaMancha 3. ElusodelasnuevastecnologasdecomunicacinpermitenalaUniversidadcumplir deuna formamseficazyeficientesusobjetivossociales.Atalefecto,la Universidad comunicalossiguientesdatos: a. El nombre, apellidos, telfono y extensin, direccin de correo electrnico, puestoycentrodetrabajodelosempleadosatravsdelawebdelaUniversidad. Esta informacin es accesible a travs de un servicio de bsqueda en una pgina web que limita a treinta el nmero de empleados visualizados. Asimismo, se adjuntarlaclusulainformativadelanexoXIendichapgina. b.Lapublicidaddelosresultadosdelaspruebasrelacionadasconlaevaluacinde los conocimientos y competencias de los estudiantes en pginas web slo se realizar en espacios privados de trabajo de los estudiantes. Asimismo, se adjuntar la clusula informativa del anexo XII en los documentos con dichos datos. c.LasresolucionesdelasconvocatoriasdeofertasdetrabajodelaUniversidaden pginas web slo indicarn el nombre, apellidos, DNI y puntuacin de los afectados,yenlabasedelaconvocatoriaoenelformularioderecogidadedatosse informardeestapublicidad,indicandosudireccinInternetyladuracindeesa publicidad. d. La publicidad de datos de carcter personal del personal de la Universidad de CastillaLa Mancha relativos a los resultados de los procesos de evaluacin de la actividad docente, investigadora y de gestin slo se realizar en mbitos restringidosynuncaenpginaswebdeaccesopblico. e. La publicidad de los currculos acadmicos y cientficos de los profesores e investigadoresqueformenpartedelascomisionesdeseleccindepersonalsegn
14
lo dispuesto en el artculo 62 de la Ley Orgnica 6/2001, de 21 de diciembre, de UniversidadesmodificadaporlaLeyOrgnica4/2007,de12deabril,serealizar conelconocimientopreviodelosafectadosyporelmenortiempoposibleparael cumplimientodelosfinesdelapublicidad. Artculo14.Comunicacindedatosconfinesdeinvestigacin. Lacomunicacindedatososuusointernoconfinesdeinvestigacinsloseproducirsi estautorizadaenunaleyosehautilizadounprocedimientodedisociacin. Artculo15.Accesoalosdatosporcuentadetercerosparalaprestacindeservicios alaUniversidad. 1. Noseconsiderarcomunicacindedatoselaccesodeunterceroalosdatoscuando dicho acceso sea necesario para la prestacin de un servicio a la Universidad de CastillaLaMancha. 2. La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contratoquedeberconstarporescritooenalgunaotraformaquepermitaacreditar su celebracin y contenido, establecindose expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones de la UniversidaddeCastillaLaMancha,quenolosaplicaroutilizarconfindistintoalque figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas.Enelcasodeincumplimientodelasestipulacionesestablecidas,elencargado deltratamientoserconsiderado,tambinresponsabledeltratamiento,respondiendo de las infracciones en que hubiera incurrido personalmente. En el contrato se estipularn,asimismo,lasmedidasdeseguridadqueelencargadodeltratamientoest obligadoaimplementar. 3. Si el encargado de tratamiento necesita para la prestacin de un servicio a la Universidad de CastillaLa Mancha subcontratar con un tercero parte del tratamiento deber contar con autorizacin previa escrita de la universidad. Esta autorizacin puedeestarcontempladaenelcontratodelservicioconelencargadodetratamientoo serformalizadaposteriormenteperosiempreantesderealizarlasubcontratacin.En cualquiercaso,elsubcontratistatendrlasobligacionesdeencargadodetratamientoy seguirlasinstruccionesdelaUniversidaddeCastillaLaManchaparaesetratamiento ascomoelcumplimientodelasdisposicioneslegalescorrespondientes. 4.Unavezcumplidalaprestacincontractual,losdatosdecarcterpersonaldebern ser destruidos o devueltos a la Universidad de CastillaLa Mancha, al igual que cualquiersoporteodocumentosenqueconstealgndatodecarcterpersonalobjeto deltratamiento.Noprocederladestruccindelosdatoscuandoexistaunaprevisin legalqueexijasuconservacin,encuyocasodeberprocedersealadevolucindelos mismos. 5. Enelcasodequeelencargadodeltratamientodestinelosdatosaotrafinalidad,los comuniqueolosutiliceincumpliendolasestipulacionesdelcontrato,serconsiderado
15
tambinresponsabledeltratamiento,respondiendodelasinfraccionesenquehubiera incurridopersonalmente. 6. El tratamiento de datos por parte de la Fundacin General de la Universidad de CastillaLa Mancha cuyo responsable de fichero sea la Universidad de CastillaLa Mancha, se realizar como prestacin de un servicio a sta no estando permitido su utilizacinparaningnotrouso. 7.EnelanexoVIseincluyelasclusulasrelativasalaproteccindedatosainsertaren todos los pliegos de condiciones de contratos de prestacin de servicios a la Universidad. Artculo 16. La Universidad de CastillaLa Mancha como encargada de tratamiento dedatosdeotrasinstituciones. En la manipulacin de datos de otras instituciones tanto dependientes de la universidad (fundaciones y empresas) como ajenas, se aplicar este cdigo de conducta en su tratamientointernoascomolasmedidasdeseguridadacordadasconesainstitucin. Artculo17.Derechodeacceso. 1. Elinteresadotendrderechoasolicitaryobtenergratuitamenteinformacindesus datosdecarcterpersonalsometidosatratamiento,elorigendedichosdatos,ascomo lascomunicacionesrealizadasoqueseprevnhacerdelosmismos. 2. Lainformacinpodrobtenersemediantelameraconsultadelosdatospormedio de su visualizacin en pantalla, o la indicacin de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, correo electrnico o sistema de comunicacin electrnica, o cualquier otro sistema que sea adecuado a la configuracin o implantacin material del fichero o la naturaleza del tratamiento,enformalegibleeinteligible,sinutilizarclavesocdigosquerequieranel usodedispositivosmecnicosespecficos. 3. La Universidad de CastillaLa Mancha resolver sobre la solicitud de acceso en el plazomximodeunmesacontardesdelarecepcindelasolicitud. En el caso de que la universidad no disponga de datos de carcter personal de los afectadosselocomunicarigualmenteenelmismoplazo. 4. El derecho de acceso a que se refiere este artculo slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inters legtimoalefecto,encuyocasopodrejercitarloantes. 5.PodrdenegarseelaccesoenlossupuestosenqueaslopreveaunaLeyounanorma de derecho comunitario de aplicacin directa o cuando stas impidan revelar a los afectadoseltratamientodelosdatosalosqueserefieraelacceso.
16
Artculo18.Derechoderectificacinycancelacin. 1. La Universidad de CastillaLa Mancha har efectivo el derecho de rectificacin o cancelacindelinteresadoenelplazodediezdas. En el caso de que la universidad no disponga de datos de carcter personal de los afectadosselocomunicarigualmenteenelmismoplazo. 2.Sernrectificadoslosdatosdecarcterpersonalcuyotratamientonoseajustealo dispuesto en la LOPD ni en el Real Decreto 1720/2007 y, en particular, cuando tales datosresulteninexactosoincompletos. Sern cancelados los datos de carcter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD ni en el Real Decreto 1720/2007 y, en particular, cuando tales datosresulteninadecuadosoexcesivos. 3. La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicinde las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcindestas.Cumplidoelcitadoplazodeberprocedersealasupresin. 4. Podrn denegarse los derechos de rectificacin o cancelacin en los supuestos en queaslopreveaunaleyounanormadederechocomunitariodeaplicacindirectao cuando stas impidan revelar a los afectados el tratamiento de los datos a los que se refieraelacceso. 5. Si los datos rectificados o cancelados hubieran sido comunicados previamente, la Universidad de CastillaLa Mancha deber notificar la rectificacin o cancelacin efectuadaaquiensehayancomunicado,enelcasodequesemantengaeltratamiento poresteltimo,quedebertambinprocederalacancelacin. 6.Losdatosdecarcterpersonaldebernserconservadosdurantelosplazosprevistos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la UniversidaddeCastillaLaManchayelinteresado. Artculo19.Derechodeoposicin. 1. El afectado tendr derecho a que no se lleve a cabo el tratamiento de sus datos de carcterpersonaloseceseenelmismoenlossiguientessupuestos: a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su concretasituacinpersonal,quelojustifique,siemprequeunaLeynodispongalo contrario. b) Cuando se trate de ficheros que tengan por finalidad la realizacin de actividadesdepublicidadyprospeccincomercial,enlostrminosprevistosenel artculo51delRealDecreto1720/2007de21dediciembre,porelqueapruebael ReglamentodedesarrollodelaLOPD,cualquieraquesealaempresaresponsable desucreacin.
17
c)Cuandoeltratamientotengaporfinalidadlaadopcindeunadecisinreferida alafectadoybasadanicamenteenuntratamientoautomatizadodesusdatosde carcter personal, en los trminos previstos en el artculo 36 del Real Decreto 1720/2007de21dediciembre,porelqueapruebaelReglamentodedesarrollode laLOPD. 2.Elderechodeoposicinseejercersegnelprocedimientodescritoenelartculo20 deesteCdigodeConducta. Cuando la oposicin se realice con base en la letra a) del apartado anterior, en la solicitud debern hacerse constar los motivos fundados y legtimos, relativos a una concretasituacinpersonaldelafectado,quejustificanelejerciciodeestederecho. 3.LaUniversidaddeCastillaLaMancharesolversobrelasolicituddeoposicinenel plazomximodediezdasacontardesdelarecepcindelasolicitud.Transcurridoel plazo sin que de forma expresa se responda a la peticin, el interesado podr interponerlareclamacinprevistaenelartculo18delaLeyOrgnica15/1999,de13 dediciembre. En el caso de que la universidad no disponga de datos de carcter personal de los afectadosselocomunicarigualmenteenelmismoplazo. 4.Seexcluirndeltratamientolosdatosrelativosalafectadoqueejercitesuderechode oposicinosedenegarmotivadamentelasolicituddelinteresadoenelplazoprevisto enelapartado3deesteartculo. Artculo20.Procedimientodeoposicin,acceso,rectificacinocancelacin. 1. Losderechosdeoposicin,acceso,rectificacinocancelacindedatosseejercern siempre ante la Universidad de CastillaLa Mancha. No obstante, y de forma complementaria, a lo indicado en este artculo, la Universidad de CastillaLa Mancha podr articular tantos procedimientos especficos se consideren necesarios para agilizarelejerciciodeestosderechos. 2. Conobjetodefacilitarelejerciciodelosderechosdeoposicin,acceso,rectificacin o cancelacin de datos a los miembros de la comunidad universidad se habilitar a travs de la intranet de la universidad un mecanismo para el ejercicio de estos derechos. En especial, se potenciar el derecho de acceso con la consulta inmediata a losdatosalmacenadosenlosficherosdelauniversidad. 3. Deformacomplementariaaloindicadoenelapartado2deesteartculo,cualquier peticin de oposicin, acceso, rectificacin o cancelacin sobre datos de carcter personal se podr realizar mediante un escrito dirigido al Director Acadmico competenteenlamateria(enadelante,DirectorAcadmicodeSeguridadInformtica) delaUniversidaddeCastillaLaManchaatravsdelRegistroGeneraldelaUniversidad o por cualquiera de los medios previstos en la Ley de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn adjuntado fotocopia del documento nacional de identidad del interesado u otro documento equivalentequeacreditesuidentidadconformeaDerecho.
18
4. Los derechos de oposicin, acceso, rectificacin o cancelacin de datos son personalsimos y sern ejercidos nicamente por el interesado. No obstante, el interesadopodractuaratravsdelrepresentantelegalcuandoaquelseencuentreen situacindeincapacidadominoradeedadqueleimposibiliteelejerciciopersonalde los mismos, en cuyo caso ser necesario que el representante legal acredite tal condicin. 5. Noseexigircontraprestacinalgunaporelejerciciodelosderechosdeoposicin, acceso,rectificacinocancelacin. 6. Con objeto de facilitar el ejercicio de estos derechos, en el Registro General de la Universidad y sus Registro Auxiliares se tendr a disposicin de los interesados, los formulariosdelosanexosVII,VIII,IXyXadecuadosaestafinalidad. 7. Los padres o tutores no tendrn acceso al expediente acadmico o cualquier otro dato personal de sus hijos salvo en los supuestos indicados en el apartado 3 de este artculo. Esta imposibilidad se extiende a los datos personales de estudiantes y tituladosfallecidos. 8. Elinteresadoalquesedeniegue,totaloparcialmente,elejerciciodelosderechosde oposicin, acceso, rectificacin o cancelacin, podr ponerlo en conocimiento de la AgenciaEspaoladeProteccindeDatos. Artculo21.Transferenciasinternacionalesdedatos. 1. No podrn realizarse transferencias temporales ni definitivas de datos de carcter personalcondestinoapasesquenoproporcionenunniveldeproteccinequiparable a la LOPD, salvo que, adems de haberse observado lo dispuesto en sta y en su Reglamento de desarrollo, se obtenga autorizacin previa del Director de la Agencia EspaoladeProteccindeDatos. 2.Lodispuestoenelprrafoanteriornoserdeaplicacin: a)SielEstadoenelqueseencontraseelimportadorofreceunniveladecuadode proteccin conforme a lo previsto en el captulo II del ttulo VI del Real Decreto 1720/2007,de21dediciembre,porelqueapruebaelReglamentodedesarrollode laLOPD. b)Sielafectadohubieradadosuconsentimientoinequvocoalatransferencia,ola transferenciafueranecesariaparalaejecucindeunservicioocontratoeninters delafectado,oencualquieradelosrestantessupuestosprevistosenelartculo34 delaLOPD. 3. En todo caso, la transferencia internacional de datos deber ser notificada a fin de procederasuinscripcinenelRegistroGeneraldeProteccindeDatos. 4.EnelanexoIVseincluyelaclusulainformativadelosformulariosdondeserecogen los datos de los estudiantes que desean participar en programas de intercambio universitarioconuniversidadesextranjeras.
19
TtuloIII Gestindelosficheroscondatosdecarcter personal

CaptuloI Disposicionesgenerales
Artculo22.Procedimientodecreacin,modificacinosupresindeficheros. 1. La creacin, modificacin o supresin de ficheros de la Universidad de CastillaLa Mancha corresponde al Rector mediante resolucin publicada en el Diario Oficial de CastillaLaMancha.Unavezpublicadalaresolucinsenotificar,enelplazodetreinta das, a la Agencia Espaola de Proteccin de Datos para su inscripcin en el Registro GeneraldeProteccindeDatos. Lasdisposicionesdecreacinodemodificacindeficherosdebernindicar: a)Laidentificacindelficherootratamiento,indicandosudenominacin,ascomo ladescripcindesufinalidadyusosprevistos. b) El origen de los datos, indicando el colectivo de personas sobre los que se pretende obtener datos de carcter personal o que resulten obligados a suministrarlos,elprocedimientoderecogidadelosdatosysuprocedencia. c) La estructura bsica del fichero mediante la descripcin detallada de los datos identificativos,yensucaso,delosdatosespecialmenteprotegidos,ascomodelas restantes categoras de datos de carcter personal incluidas en el mismo y el sistemadetratamientoutilizadoensuorganizacin. d)Lascomunicacionesdedatosprevistas,indicandoensucaso,losdestinatarioso categorasdedestinatarios. e) Las transferencias internacionales de datos previstas a terceros pases, con indicacin,ensucaso,delospasesdedestinodelosdatos. f)LaUniversidaddeCastillaLaManchacomoresponsabledelfichero. g) El Rectorado de la Universidad como la unidad donde se pueden ejercitar los derechosdeacceso,rectificacin,cancelacinyoposicin. h)Lasmedidasdeseguridadconindicacindelnivelbsico,mediooaltoexigible.
20
2. Enlasdisposicionesdesupresindelosficherosseestablecereldestinoquevayaa darsealosdatoso,ensucaso,lasprevisionesqueseadoptenparasudestruccin. 3. Cada fichero tendr un responsable interno nombrado por el Rector mediante resolucinpublicadaenelBoletnOficialdelaUniversidaddeCastillaLaMancha. 4. CuandounaunidaddelaUniversidadnecesiteporrazonesdeserviciorecabardatos distintosalosmencionadosenlosficherosregistradosdelaUniversidaddeCastillaLa Mancha,losolicitaralDirectorAcadmicodeSeguridadInformticamedianteescrito motivado. En caso de reunir todas las condiciones requeridas por la Ley, sus reglamentos de desarrollo y este cdigo de conducta, el Director Acadmico de Seguridad Informtica junto con la Asesora Jurdica llevar a cabo las actuaciones procedimentalesprecisasparala modificacinde ficherosysuregularizacin antelos rganoscompetentes. Artculo23.Nivelesdeseguridad. 1.LasmedidasdeseguridadsegnelRealDecreto1720/2007,de21dediciembre,por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, se clasifican en tres niveles: bsico,medioyalto. 2. Conobjetode aumentarlas garantaseneltratamientodelosdatospersonaleslas medidasdeseguridadqueseaplicarnenlaUniversidaddeCastillaLaMancha,sern exclusivamentelasdelosdosniveles:medioyalto. 3.Dichosnivelesseestablecenatendiendoalanaturalezadelainformacintratada,en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la integridaddelainformacin,deconformidadconelartculosiguiente. Artculo24.Aplicacindelosnivelesdeseguridad. 1. Todos los ficheros que contenga datos de carcter personal debern adoptar las medidasdeseguridadcalificadascomodenivelmedio. 2. Losficherosquecontengandatosdeideologa,afiliacinsindical,religin,creencias, origen racial, salud, vida sexual o derivados de actos de violencia de gnero debern reunir,ademsdelasmedidasdenivelmedio,lascalificadasdenivelalto. 3. En el caso de ficheros o tratamientos de datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual se implantarn las medidas de seguridaddenivelmediocuando: a) Los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Setratedeficherosotratamientosnoautomatizadosenlosquedeforma incidentaloaccesoriasecontenganaquellosdatossinguardarrelacincon sufinalidad.
21
4. Se implantarn las medidas de seguridad de nivel medio en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al gradodediscapacidadoinvalidezdelafectadoconmotivodelcumplimientodedeberes pblicos. 5.Cuandoenunsistemadeinformacinexistanficherosotratamientosqueenfuncin desufinalidadousoconcreto,odelanaturalezadelosdatosquecontengan,requieran la aplicacin de un nivel de medidas de seguridad diferente al del sistema principal, podrnsegregarsedeesteltimo,siendodeaplicacinencadacasoelniveldemedidas deseguridadcorrespondienteysiemprequepuedandelimitarselosdatosafectadosy los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad. Artculo25.Responsabledeseguridad. 1. Todos los ficheros de la Universidad de CastillaLa Mancha tendrn uno varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridaddefinidasparacadafichero. 2. ElDirectorAcadmicodeSeguridadInformticaactuarcomocoordinadordetodos losresponsablesdeseguridadysucometidoprincipalserdarloscriteriosgenerales de aplicacin de las medidas de seguridad a utilizar en todos los ficheros segn lo estipuladoenestecdigodeconductayenlanormativavigente. Artculo26.Ficherostemporalesocopiasdetrabajodedocumentos. 1. Los ficheros temporales o copias de documentos que se hubieran creado exclusivamenteparalarealizacindetrabajostemporalesoauxiliaresdeberncumplir elniveldeseguridadquelescorrespondaconarregloaloscriteriosestablecidosenel presentecdigodeconducta. 2.Lageneracindeficherostemporalesocopiasdedocumentosnicamentepodrser realizadasegnloestablecidoeneldocumentodeseguridad. 3.Todoficherotemporalocopiadetrabajoascreadoserborradoodestruidounavez que haya dejado de ser necesario para los fines que motivaron su creacin de forma queseeviteelaccesoalainformacincontenidaendichosficherostemporalesocopias detrabajo. Artculo27.Documentodeseguridad. 1. La Universidad de CastillaLa Mancha implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datosdecarcterpersonalyalossistemasdeinformacin. 2.Eldocumentodebercontener,comomnimo,lossiguientesaspectos: a)mbitodeaplicacindeldocumentoconespecificacindetalladadelosrecursos protegidos.
22
b) Medidas, normas, procedimientos de actuacin, reglas y estndares encaminadosagarantizarelniveldeseguridadexigidoenlanormativavigente y enestecdigodeconducta. c)Funcionesyobligacionesdelpersonal. d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemasdeinformacinquelostratan. e)Procedimientodenotificacin,gestinyrespuestaantelasincidencias. f) Los procedimientos de realizacin de copias de respaldo y de recuperacin de losdatos. g)Controlesperidicosquesedebanrealizarparaverificarelcumplimientodelo dispuestoenelpropiodocumentodeseguridad. h)Medidasaadoptarparaeltransportedesoportesydocumentos. i) Medidas a adoptar para la destruccin o reutilizacin de los documentos y soportes. 3. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridaddebercontenerlaidentificacindelosficherosotratamientosquesetraten enconceptodeencargadoconreferenciaexpresaalcontratoodocumentoqueregule lascondicionesdelencargo,ascomodelaidentificacindelresponsableydelperodo devigenciadelencargo. 4. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deber anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parteoalatotalidaddelosficherosotratamientosdelresponsable,podrdelegarseen el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicar de modo expreso en el contrato celebrado al amparo del artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre,conespecificacindelosficherosotratamientosafectados. En tal caso, se atender al documento de seguridad del encargado al efecto del cumplimientodelodispuestoporestereglamento. 5. Eldocumentodeseguridaddebermantenerseentodomomentoactualizadoyser revisado siempre que se produzcan cambios relevantes en el sistema de informacin, en el sistema de tratamiento empleado, en su organizacin, en el contenido de la informacinincluidaenlosficherosotratamientoso,ensucaso,comoconsecuenciade los controles peridicos realizados. En todo caso, se entender que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. 6. Elcontenidodeldocumentodeseguridaddeberadecuarse,entodomomento,alas disposicionesvigentesenmateriadeseguridaddelosdatosdecarcterpersonal.
23
CaptuloII Medidasdeseguridaddenivelmedio
Artculo28.Funcionesyobligacionesdelpersonal. 1. Las funciones y obligaciones de cada una de los usuarios o perfiles de usuario con accesoalosdatosdecarcterpersonalyalossistemasdeinformacinestarnclara mentedefinidasydocumentadaseneldocumentodeseguridad. 2. El responsable interno del fichero adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollodesusfuncionesascomolasconsecuenciasenquepudieraincurrirencaso deincumplimiento. 3. En los planes de formacin del personal de la universidad existirn los cursos o mdulos apropiados para formar con el nivel adecuado en las normas de seguridad aplicablesalosficherosdelauniversidadsegnestecdigodeconductaylanormativa vigente. 4.EnelanexoXIIIseincluyeeldeclogodelusuariodedatosdecarcterpersonaldela Universidad de CastillaLa Mancha que se entregar al personal nuevo de la universidadensuincorporacinparaelconocimientodelosprincipiosfundamentales delaproteccindedatosdecarcterpersonalenlaUniversidaddeCastillaLaMancha juntoconunacopiadeestecdigodeconducta. 5. Todo el personal de la Universidad de CastillaLa Mancha tiene la obligacin de atenderyorientaralosafectadosporeltratamientodesusdatospersonales.Deforma especial, se crearn cursos o mdulos de formacin a los estudiantes para el conocimiento de los principios de proteccin de los datos de carcter personal y los derechosdelaspersonaseneltratamientodeestosdatos. Artculo29.Identificacinyautenticacin. 1. El responsable interno del fichero o tratamiento deber adoptar las medidas que garanticenlacorrectaidentificacinyautenticacindelosusuarios. 2. Se establecer un mecanismo que permita la identificacin de forma inequvoca y personalizada de todo usuario que intente acceder al sistema de informacin y la verificacindequeestautorizado. 3. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existirunprocedimientodeasignacin,distribucinyalmacenamientoquegarantice suconfidencialidadeintegridad. 4.Lascontraseassecambiarnconlaperiodicidadquesedetermineeneldocumento deseguridad,queenningncasosersuperioraunao,ymientrasestnvigentesse almacenarndeformaininteligible.
24
5.Seestablecerunmecanismoquelimitelaposibilidaddeintentarreiteradamenteel accesonoautorizadoalsistemadeinformacin. Artculo30.Controldeacceso. 1. Losusuariostendrnaccesoautorizadonicamenteaaquellosdatosyrecursosque precisenparaeldesarrollodesusfunciones. 2. El responsable interno del fichero se encargar de que exista una relacin actualizadadeusuariosyperfilesdeusuarios,ylosaccesosautorizadosparacadauno deellos. 3. Se establecern mecanismos para evitar que un usuario pueda acceder a datos o recursosconderechosdistintosdelosautorizados. 4. Mientras que la documentacin con datos de carcter personal no se encuentre archivada en sus respectivos dispositivos de almacenamiento, la persona que se encuentre a cargo de la misma deber custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Igualmente, las personas que utilizan ordenadoresparaelaccesoadatosdecarcterpersonaldebernutilizarmecanismos de bloqueo en dichos ordenadores para impedir su utilizacin por personas no autorizadas. 5.Exclusivamenteelpersonalautorizadoparaelloeneldocumentodeseguridadpodr conceder,alteraroanularelaccesoautorizadosobrelosdatosyrecursos,conformea los criterios establecidos por el responsable interno del fichero en el documento de seguridad. 6.Encasodequeexistapersonalajenoalresponsabledelficheroquetengaaccesoalos recursosdeberestarsometidoalasmismascondicionesyobligacionesdeseguridad queelpersonalpropio. Artculo31.Controldeaccesofsico. 1. Exclusivamente el personal autorizado en el documento de seguridad podr tener accesoaloslocalesdondesehalleninstaladoslosequiposfsicosquedensoportealos sistemasdeinformacin. 2. Los armarios, archivadores u otros elementos en los que consten documentos con datos de carcter personal debern encontrarse en reas en las que el acceso est protegidoconpuertasdeaccesodotadasdesistemasdeaperturamediantellaveuotro dispositivo equivalente. Dichas reas debern permanecer cerradas cuando no sea precisoelaccesoadichosdocumentos. 3. Los dispositivos de almacenamiento de los documentos que contengan datos de carcterpersonaldeberndisponerdemecanismosqueobstaculicensuapertura.
25
Artculo32.Rgimendetrabajofueradeloslocalesdelaubicacindelfichero. La ejecucin de tratamiento de datos de carcter personal fuera de los locales de la ubicacindelficherodeberserautorizadaexpresamenteporelresponsableinternodel ficheroy,entodocaso,debergarantizarseelniveldeseguridadcorrespondientealtipo deficherotratado. Artculo33.Gestindesoportesydocumentos. 1. Los soportes y documentos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y solo debern ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptan estas obligaciones cuando las caractersticas fsicas del soporte imposibilitensucumplimiento,quedandoconstanciamotivadadeelloeneldocumento deseguridad. 2.Elarchivodelossoportesydocumentosquecontengandatosdecarcterpersonalse realizar de acuerdo con los criterios previstos en el Reglamento del Archivo General delaUniversidaddeCastillaLaMancha. 3. La salida de soportes y documentos que contengan datos de carcter personal, incluidosloscomprendidosy/oanejosauncorreoelectrnico,fueradeloslocalesbajo elcontroldelresponsableinternodelficherootratamientodeberserautorizadapor steoencontrarsedebidamenteautorizadaeneldocumentodeseguridad. 4. En el traslado de la documentacin se adoptarn las medidas dirigidas a evitar la sustraccin,prdidaoaccesoindebidoalainformacindurantesutransporte. 5. Siemprequevayaadesecharsecualquierdocumentoosoportequecontengadatos de carcter personal deber procederse a su destruccin o borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismoosurecuperacinposterior. 6. La identificacin de los soportes que contengan datos de carcter personal que la organizacinconsideraseespecialmentesensiblessepodrrealizarutilizandosistemas deetiquetadocomprensiblesyconsignificadoquepermitanalosusuariosconacceso autorizado a los citados soportes y documentos identificar su contenido, y que dificultenlaidentificacinparaelrestodepersonas. 7. Deber establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor,elnmerodedocumentososoportes,eltipodeinformacinquecontienen,la formadeenvoylapersonaresponsabledelarecepcinquedeberestardebidamente autorizada. 8. Sedispondrdeunsistemaderegistrodesalidadesoportesquepermita,directao indirectamente,conocereltipodedocumentoosoporte,lafechayhora,eldestinatario, elnmerodedocumentososoportesincluidosenelenvo,eltipodeinformacinque
26
contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamenteautorizada. Artculo34.Copiasderespaldoyrecuperacin. 1. Debernestablecerseprocedimientosdeactuacinparalarealizacincomomnimo semanal de copias de respaldo, salvo que en dicho perodo no se hubiera producido ningunaactualizacindelosdatos. 2. Asimismo, se establecern procedimientos para la recuperacin de los datos que garanticenentodomomentosureconstruccinenelestadoenqueseencontrabanal tiempodeproducirselaprdidaodestruccin. nicamente, en el caso de que la prdida o destruccin afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentacin permita alcanzar el objetivo al que se refiere el prrafo anterior, se deber proceder a grabar manualmente los datos quedando constancia motivada de estehechoeneldocumentodeseguridad. 3. El responsable del fichero se encargar de verificar cada seis meses la correcta definicin,funcionamientoyaplicacindelosprocedimientosderealizacindecopias derespaldoyderecuperacindelosdatos. 4. Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin que traten ficheros con datos de carcter personal no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de ficherotratadoyseanotesurealizacineneldocumentodeseguridad. Si est previsto realizar pruebas con datos reales, previamente deber haberse realizadounacopiadeseguridad. 5. Deberconservarseunacopiaderespaldoydelosprocedimientosderecuperacin de los datos en un lugar diferente de aqul en que se encuentren los equipos informticosquelostratancumpliendoentodocaso,lasmedidasdeseguridadexigidas en este cdigo de conducta o utilizando elementos que garanticen la integridad y recuperacindelainformacin,deformaqueseaposiblesurecuperacin. Artculo35.Accesoadatosatravsderedesdecomunicaciones. La transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizandocualquierotromecanismoquegaranticequelainformacinnoseainteligibleni manipulableporterceros. Artculo36.Registrodeincidencias. 1. Elprocedimientodenotificacinygestindeincidenciascontendrnecesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido,oensucaso,detectado,lapersonaquerealizalanotificacin,aquinsele
27
comunica,losefectosquesehubieranderivadodelamismaylasmedidascorrectoras aplicadas. 2. Se debern consignar en este registro, los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y, en su caso, qu datos han sido necesario grabar manualmente en el procesoderecuperacin. 3. Sernecesarialaautorizacindelresponsableinternodelficheroparalaejecucin delosprocedimientosderecuperacindelosdatos. Artculo37.Auditora. 1. Los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern a una auditora externa bienal, que verifique el cumplimiento del presente cdigo de conducta y de los procedimientos e instrucciones vigentes en materiadeseguridaddedatos. Concarcterextraordinariodeberrealizarsedichaauditorasiemprequeserealicen modificacionessustancialesenelsistemadeinformacinquepuedanrepercutirenel cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin,adecuacinyeficaciadelasmismas.Estaauditorainiciaelcmputoanual sealadoenelprrafoanterior. 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles al presente cdigo de conducta y a la legislacin y reglamentacin vigente relativa a proteccin de datos de carcter personal, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluirlosdatos,hechosyobservacionesenquesebasenlosdictmenesalcanzadosy recomendacionespropuestas. 3. Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable interno del fichero o tratamientoyalaComisindelaUniversidaddeCastillaLaManchacompetenteenla materiaparaqueadoptelasmedidascorrectorasadecuadasyquedarnadisposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de controldelaComunidadAutnomadeCastillaLaMancha.
CaptuloIII Medidasdeseguridaddenivelalto
Artculo38.Gestinydistribucindesoportes. 1.Laidentificacindelossoportessedeberrealizarutilizandosistemasdeetiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificacinparaelrestodepersonas.
28
2.Ladistribucindelossoportesquecontengandatosdecarcterpersonalserealizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dichainformacinnoseainteligiblenimanipuladadurantesutransporte. Asimismo,secifrarnlosdatosquecontenganlosdispositivosporttilescuandostos seencuentrenfueradelasinstalacionesque estnbajoelcontroldelresponsabledel fichero. 3. Deber evitarse el tratamiento de datos de carcter personal en dispositivos porttiles que no permitan su cifrado. En caso de que sea estrictamente necesario se har constar motivadamente en el documento de seguridad y se adoptarn medidas quetenganencuentalosriesgosderealizartratamientosenentornosdesprotegidos. Artculo39.Registrodeaccesos. 1. Decadaaccesoseguardarn,comomnimo,laidentificacindelusuario,lafechay hora en que se realiz, el fichero accedido, el tipode accesoy si ha sido autorizado o denegado. 2.Enelcasodequeelaccesohayasidoautorizado,serprecisoguardarlainformacin quepermitaidentificarelregistroaccedido. 3. Losmecanismosquepermitenelregistrodeaccesosestarnbajoelcontroldirecto delresponsabledeseguridadcompetentesinquedebanpermitirladesactivacinnila manipulacindelosmismos. 4.Elperodomnimodeconservacindelosdatosregistradosserdedosaos. 5. El responsable de seguridad se encargar de revisar al menos una vez al mes la informacindecontrolregistradayelaboraruninformedelasrevisionesrealizadasy losproblemasdetectados. Artculo40.Accesoaladocumentacin. 1.Elaccesoaladocumentacinselimitarexclusivamentealpersonalautorizado. 2. Se establecern mecanismos que permitan identificar los accesos realizados en el casodedocumentosquepuedanserutilizadospormltiplesusuarios. 3. El acceso de personas no incluidas en el prrafo anterior deber quedar adecuadamenteregistradodeacuerdoconelprocedimientoestablecidoalefectoenel documentodeseguridad.
29
TtuloIVEvaluacindelcdigodeconducta
Artculo41.Difusinyevaluacindelasatisfaccin 1. De forma complementaria a la informacin de difusin del cdigo de conducta incluida en todas las clusulas informativas de recogida de datos personales se habilitar la direccin de Internet www.uclm.es/psi con el contenido del cdigo de conducta,lalistaactualizadadeficherosytratamientosdedatosdecarcterpersonal sometidosalcdigodeconducta,elplanformativoenestamateriadelauniversidadas como cualquier informacin que se considere de inters. Todo el contenido de esta direccin de Internet cumplir los requisitos de accesibilidad de la normativa de la UniversidaddeCastillaLaManchaascomodelalegislacinvigenteaplicable. 2. Con objeto de facilitar la recepcin de cualquier sugerencia, queja o reclamacin relativa a la aplicacin de este cdigo de conducta se habilitarn formularios electrnicos para la recogida de esta informacin en la direccin de Internet www.uclm.es/psi.Asimismo,seincluyeenelanexoXIVunmodelodepresentacinde sugerencias,quejasoreclamaciones. 3. De forma peridica, y en el medio que se considere ms adecuada, se realizar encuestasdesatisfaccinsobrelaaplicacindelosprincipiosdeproteccindedatosde carcterpersonaly,enespecial,deestecdigodeconducta. Artculo42.Controldeaplicacin 1. En la auditora externa bienal que se realizar a todos lossistemas de informacin contratamientosyalmacenamientosdedatosdecarcterpersonalparalaverificacin del cumplimiento de la legislacin vigente en proteccin de datos se realizar la comprobacindelaaplicacindeestecdigodeconducta 2. Elinformedeauditoradecumplimientodelcdigodeconductaseranalizadopor elresponsabledeseguridadcompetentequeelevarsusconclusionesalaComisinde la Universidad de CastillaLa Mancha competente en la materia y al Consejo de Direccindelauniversidadparaqueseadoptenlasmedidascorrectorasoportunasy quedaradisposicindelaAgenciaEspaoladeProteccindeDatos. Artculo43.Memoriadeactividades 1. Serealizarunamemoriaanualsobrelasactividadesrelacionadasconlaaplicacin de este cdigo de conducta reflejando, entre otros aspectos, las sugerencias, quejas o reclamacionesrecibidassegnelartculo41. 2. Esta memoria de actividades ser remitida a la Agencia Espaola de Proteccin de Datos.
30
Disposicinfinal Entrada en vigor: El presente cdigo de conducta entrar en vigor en el plazo de tres meses,contadodesdesuregistroenlaAgenciaEspaoladeProteccindeDatos.
31
AnexoI
Deacuerdoconlodispuestoenelartculo5delaLeyOrgnica15/1999deProteccinde Datos de Carcter Personal, le informamos que sus datos han sido cedidos por la Consejera de Educacin y Ciencia de la Junta de Comunidades de CastillaLa Mancha, y pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del accesoalasenseanzasoficiales.Losusosquesedanalficheroson:gestindepruebasde accesoalaUniversidad,serviciosdeapoyoparaelingresoenlaUniversidadyobtencin deestadsticas. Le comunicamos que puede consultar los datos de carcter personal almacenados en ficheros de la Universidad de CastillaLa Mancha a travs de la web de la universidad (www.uclm.es) as como ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos. De forma complementaria puede ejercer estos derechos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad deCastillaLaMancha,calleAltagracia,nmero50,13071CiudadReal,adjuntandocopia dedocumentoqueacreditesuidentidad. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
32
AnexoII
Deacuerdoconlodispuestoenelartculo5delaLeyOrgnica15/1999deProteccinde Datos de Carcter Personal, le informamos que los datos personales recogidos en el proceso de matrcula sern tratados por la Universidad de CastillaLa Mancha para la organizacindelaDocenciayelEstudio,ascomoparaelejerciciodelasdemsfunciones propias del Servicio Pblico de la Educacin Superior, reguladas en la Ley Orgnica de Universidades. Los datos personales se comunicarn a las administraciones pblicas competentes en materia educativa. Asimismo, cuando se domicilie el pago de los precios pblicos se comunicarn a las entidades bancarias los datos estrictamente necesarios para la realizacindeaqul. Le comunicamos que puede consultar los datos de carcter personal almacenados en ficheros de la Universidad de CastillaLa Mancha a travs de la web de la universidad (www.uclm.es) as como ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos. De forma complementaria puede ejercer estos derechos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad deCastillaLaMancha,calleAltagracia,nmero50,13071CiudadReal,adjuntandocopia dedocumentoqueacreditesuidentidad. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
33
AnexoIII
Deacuerdoconlodispuestoenelartculo5delaLeyOrgnica15/1999deProteccinde Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin del personal adscrito a la Universidad. Los usos que se dan al fichero son los derivados de la gestin de recursos humanos, procesos de seleccin, nmina, formacin, archivo, biblioteca, servicios informticos; y en el caso de personal docente e investigador los usos derivados de los serviciosdeapoyoaladocenciaygestindelaactividadinvestigadora. Le comunicamos que puede consultar los datos de carcter personal almacenados en ficheros de la Universidad de CastillaLa Mancha a travs de la web de la universidad (www.uclm.es) as como ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos. De forma complementaria puede ejercer estos derechos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad deCastillaLaMancha,calleAltagracia,nmero50,13071CiudadReal,adjuntandocopia dedocumentoqueacreditesuidentidad. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
34
AnexoIV
Deacuerdoconlodispuestoenelartculo5delaLeyOrgnica15/1999deProteccinde Datos de Carcter Personal, le informamos que sus datos pasan a formar parte de los ficheros de la Universidad, cuya finalidad es la gestin de los programas de intercambio universitario con universidades extranjeras. Los usos que se dan al fichero son los derivados de la gestin administrativa del programa de intercambio: seleccin del alumnado,ayudaseconmicasyobtencindeestadsticas. En el caso de ser seleccionado en el programa de intercambio, los datos personales recogidosserncomunicadosalosorganismosnacionaleseinternacionalesresponsables del programa de intercambio y a la universidad extranjera de destino. Si ha solicitado ayudaeconmicaystaesconcedida,dasuconsentimientoaquesunombre,apellidosy direccinseancomunicadosalaentidadprivadaquefinancialaayudaeconmicaparael envodeinformacinsobreest.Enelcasodenoconcederesteconsentimiento,marque unacruzenlacasillaadjunta,ypodrparticiparenelprogramadeintercambioperosinla ayudaeconmicacorrespondiente. Le comunicamos que puede consultar los datos de carcter personal almacenados en ficheros de la Universidad de CastillaLa Mancha a travs de la web de la universidad (www.uclm.es) as como ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos. De forma complementaria puede ejercer estos derechos remitiendo un escrito al Director Acadmico de Seguridad Informtica de la Universidad deCastillaLaMancha,calleAltagracia,nmero50,13071CiudadReal,adjuntandocopia dedocumentoqueacreditesuidentidad. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
35
AnexoV
Le informamos de que los datos personales recogidos en este formulario no pasarn a formarpartedeningnficherodelaUniversidaddeCastillaLaMancha. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
36
AnexoVI
Laempresaadjudicatariayelpersonalencargadodelarealizacindelastareasguardarn secretoprofesionalsobretodaslasinformaciones,documentosyasuntosalosquetenga acceso o conocimiento durante la vigencia del contrato, estando obligados a no hacer pblicos o enajenar cuantos datos conozcan como consecuencia o con ocasin de su ejecucin,inclusodespusdefinalizarelplazocontractual. Elresultadodelastareasrealizadas,ascomoelsoporteutilizado(papel,fichas,diskettes, etc.)sernpropiedaddelaUniversidaddeCastillaLaMancha. Ladocumentacin,seentregaraladjudicatarioparaelexclusivofindelarealizacinde las tareas objeto de este contrato, quedando prohibido, para el adjudicatario y para el personal encargado de su realizacin, su reproduccin por cualquier medio y la cesin total o parcial a cualquier persona fsica o jurdica. Lo anterior se extiende asimismo al productodedichastareas. Si la empresa adjudicataria aporta equipos informticos, una vez finalizada las tareas el adjudicatario previamente a retirar los equipos informticos, debern borrar toda la informacinutilizadaoquesederivedelaejecucindelcontrato,medianteformateodel disco duro. La destruccin de la documentacin de apoyo si no se considerara indispensable, se efectuar mediante mquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, realizndose esta operacin en el lugar donde se realicenlostrabajos. El/loslicitadoresaportarnunamemoriadescriptivadelasmedidasqueadoptarnpara asegurar la confidencialidad e integridad de los datos manejados y de la documentacin facilitada.Asimismo,el/losadjudicatariosdeberncomunicaralaUniversidaddeCastilla La Mancha antes de transcurridos siete das de la fecha de comunicacin de la adjudicacin,lapersonaopersonasqueserndirectamenteresponsablesdelapuestaen prctica y de la inspeccin de dichas medidas de seguridad, adjuntando su perfil profesional. El/losadjudicatariossecomprometeanodarinformacinydatosproporcionadosporla Universidad de CastillaLa Mancha para cualquier otro uso no previsto en el presente Pliego.Enparticular,noproporcionar,sinautorizacinescritadelaUniversidad,copiade losdocumentosodatosaterceraspersonas. La empresa adjudicataria declara expresamente que conoce quedar obligada al cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de ProteccindeDatosdeCarcterPersonalyexpresamenteenloindicadoensusartculos9 y 10, en cuanto a la seguridad y al deber de secreto. La empresa adjudicataria se comprometeexplcitamenteaformareinformarasupersonalenlasobligacionesquede talesnormasdimanan.
37
Igualmente sern de aplicacin las disposiciones de desarrollo de las normas anteriores queseencuentrenenvigoralaadjudicacindeestecontratoquepuedanestarlodurante suvigencia,yaquellasnormasdelReglamentodedesarrollodelaLOPD,aprobadoporel RealDecreto1720/2007,de21dediciembre. Todoslosestudiosydocumentoselaboradosenejecucindelpresentecontratosernde propiedaddelaUniversidaddeCastillaLaMancha,quienpodrreproducirlos,publicarlos y divulgarlos, total o parcialmente, sin que pueda oponerse a ello el/los adjudicatario/s autordelostrabajos. El/los adjudicatarios no podr hacer ningn uso o divulgacin de los estudios y documentos elaborados en base a este pliego de condiciones, bien sea en forma total o parcial, directa o extractada, sin autorizacin expresa de la Universidad de CastillaLa Mancha. Todos los datos manejados por la empresa adjudicataria a causa de la prestacin del servicio,incluyendolossoportesutilizados,(papel,fichas,disquetes,...)sernpropiedadde la Universidad de CastillaLa Mancha, sin que la empresa adjudicataria pueda conservar copia o utilizarlos con fin distinto al que figura en el contrato de servicios, estando obligadosalcumplimientodelaLeyOrgnica15/1999,de13dediciembredeProteccin deDatosdeCarcterPersonalymuyespecialmenteenloindicadoensuartculo12.
38
AnexoVII
Ejerciciodelderechodeacceso Peticindeinformacinsobrelosdatospersonalesincluidosenficheros. Datosdelsolicitante: D./D...................................................................................................,mayordeedad,condomicilioenla C/. .................................................................................................................................... n ..........., Localidad ........................................................., Provincia ..................................... Cdigo Postal ................. con D.N.I. .................................., del que se acompaa fotocopia, por medio del presente escrito manifiestasudeseodeejercersuderechodeacceso,deconformidadconelartculo15de laLeyOrgnica15/1999,yelCaptuloIIdelTtuloIIIdelRealDecreto1720/2007. Solicita: 1.Queselefacilitegratuitamenteelaccesoasusficherosenelplazomximodeunmesa contardesdelarecepcindeestasolicitud. 2. Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la informacin a la direccin arriba indicada en el plazo de diez das desde la resolucin estimatoriadelasolicituddeacceso. 3. Que esta informacin comprenda de modo legible e inteligible los datos que sobre mi personaestnincluidosensusficheros,ylosresultantesdecualquierelaboracin,proceso o tratamiento, as como el origen de los datos, los cesionarios y la especificacin de los usosconcretosyfinalidadesparalosquesealmacenaron. En...............................................,a.........de...............................de20.... Sr.DirectorAcadmicodeSeguridadInformtica
39
AnexoVIII
Ejerciciodelderechoderectificacin Peticindecorreccindedatospersonalesinexactosoincorrectosobjetodetratamiento incluidoenficheros. Datosdelsolicitante: D./D..................................................................................................,mayordeedad,condomicilioenla C/. .................................................................................................................................... n ..........., Localidad ........................................................., Provincia ..................................... Cdigo Postal ................. con D.N.I. .................................., del que se acompaa fotocopia, por medio del presente escrito manifiestasudeseodeejercersuderechoderectificacin,deconformidadconelartculo 16delaLeyOrgnica15/1999,yelCaptuloIIIdelTtuloIIIdelRealDecreto1720/2007. Solicita: 1.Queseprocedagratuitamentealaefectivacorreccinenelplazodediezdasdesdela recepcin de esta solicitud, de los datos inexactos relativos a mi persona que se encuentrenensusficheros. 2.Losdatosquehayquerectificarseenumeranenlahojaadjunta,haciendoreferenciaa los documentos que se acompaan a esta solicitud y que acreditan, en caso de ser necesario,laveracidaddelosnuevosdatos. 3.Quemecomuniquendeformaescritaaladireccinarribaindicada,larectificacinde losdatosunavezrealizada. 4. Que, en el caso de que el responsable del fichero considere que la rectificacin o la cancelacinnoprocede,locomuniqueigualmente,deformamotivadaydentrodelplazo dediezdassealado. En...............................................,a.........de...............................de20.... Sr.DirectorAcadmicodeSeguridadInformtica
40
DATOSQUEDEBENRECTIFICARSE DatoIncorrecto 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. DatoCorrecto DocumentoAcreditativo
41
AnexoIX
Ejerciciodelderechodecancelacin Peticindesupresindedatospersonalesobjetodetratamientoincluidosenficheros. Datosdelsolicitante: D./D..................................................................................................,mayordeedad,condomicilioenla C/. .................................................................................................................................... n ..........., Localidad ........................................................., Provincia ..................................... Cdigo Postal ................. con D.N.I. .................................., del que se acompaa fotocopia, por medio del presente escrito manifiestasudeseodeejercersuderechodecancelacin,deconformidadconelartculo 16delaLeyOrgnica15/1999,yelCaptuloIIIdelTtuloIIIdelRealDecreto1720/2007. Solicita: 1. Que se proceda al bloqueo de los datos en el plazo de diez das desde la recepcin de esta solicitud, de cualesquiera datos relativos a mi persona que se encuentren en sus ficheros al no existir vinculacin jurdica o disposicin legal que justifique su mantenimiento. 2.Unaveztranscurridoelplazodeprescripcindelasposiblesresponsabilidadesnacidas del tratamiento de los datos, que se proceda a la supresin de los mismos y se me comuniquedeformaescritaaladireccinarribaindicadasucancelacinefectiva. 3. Que, en el caso de que el responsable del fichero considere que dicha cancelacin no procede, lo comunique igualmente, de forma motivada y dentro del plazo de diez das indicados. En..................................................a.........de...............................de20.... Sr.DirectorAcadmicodeSeguridadInformtica
42
AnexoX
Ejerciciodelderechodeoposicin Peticindeexclusindeltratamientodelosdatosincluidosenunfichero,cuandoexisten motivosfundadosylegtimos. Datosdelsolicitante: D./D..................................................................................................,mayordeedad,condomicilioenla C/. .................................................................................................................................... n ..........., Localidad ........................................................., Provincia ..................................... Cdigo Postal ................. con D.N.I. .................................., del que se acompaa fotocopia, por medio del presente escrito manifiestasudeseodeejercersuderechodeoposicin,deconformidadconelartculo6, apartado 4 de la Ley Orgnica 15/1999 y el Captulo IV del Ttulo III del Real Decreto 1720/2007. Solicita: 1.Queseprocedaaexcluirenelplazodediezdasdesdelarecepcindeestasolicitud,los datos relativos a mi persona que se encuentren en sus ficheros, por existir motivos fundadosylegtimosrelativosaunaconcretasituacinpersonal. 2.Losdatosquehayqueexcluirseenumeranenlahojaadjunta,haciendoreferenciaalos documentosqueseacompaanaestasolicitudyqueacreditan,encasodesernecesario,la justificacindeestapeticin. 3.Quemecomuniquendeformaescritaaladireccinarribaindicada,laexclusindelos datosunavezrealizada. 4. Que, en el caso de que el responsable del fichero considere que la oposicin al tratamiento de esos datos no procede, lo comunique igualmente, de forma motivada y dentrodelplazodediezdasindicado. En..................................................a.........de...............................de20.... Sr.DirectorAcadmicodeSeguridadInformtica
43
DATOSAOPONER Datoaoponer 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. DocumentoAcreditativo
44
AnexoXI
Le informamos de que los datos personales ofrecidos en esta pgina web tienen como nico propsito facilitar el contacto con el personal de la Universidad de CastillaLa Manchaynopuedeconsiderarseunafuenteaccesiblealpblicoy,portanto,nopuedeser utilizadaparaotrosfinesniformarpartedeningnfichero. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
45
AnexoXII
Le informamos de que los datos personales recogidos en este documento tienen como nico propsito informar a los estudiantes de su evolucin en la asignatura y no est permitidasucomunicacinatercerososuutilizacinparaotrosfines. ExisteasudisposicinunacopiagratuitadelCdigodeConductadeProteccindeDatos PersonalesenlaUniversidaddeCastillaLaManchaopuedeobtenerloenlasdirecciones deInternetwww.uclm.es/psiywww.agpd.es.
46
AnexoXIII
47
AnexoXIV
Ejerciciodelderechodepresentacindesugerencias,quejasoreclamaciones Comunicacindesugerencias,quejasoreclamacionesrelativasalaaplicacindelCdigo deconductadeproteccindedatospersonalesenlaUniversidaddeCastillalaMancha. Datosdelsolicitante: D./D..................................................................................................,mayordeedad,condomicilioenla C/. .................................................................................................................................... n ..........., Localidad ........................................................., Provincia ..................................... Cdigo Postal ................. con D.N.I. .................................., del que se acompaa fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de presentacin de sugerencias, quejas o reclamaciones, de conformidad con el artculo 41 del Cdigo de conducta de proteccin dedatospersonalesenlaUniversidaddeCastillaLaMancha. Expone: 1. Que ha tenido conocimientos de los siguientes hechos en relacin al tratamiento de datos de carcter personal sometidos al Cdigo de conducta de proteccin de datos personalesdelaUniversidaddeCastillaLamancha. ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ ............................................................................................................................................................................................ 2.Queinteresaqueseconstatelacertezadeloshechosexpuestosy,ensucaso,seproceda a la rectificacin de las actuaciones a que a los mismos hacen referencia, con cumplida notificacinalquesuscribedelaresolucinqueseadopte. En..................................................a.........de...............................de20.... Sr.DirectorAcadmicodeSeguridadInformtica
48

Codigo Tiipo Univ Castilla Mancha 112009

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Codigo Tiipo Univ Castilla Mancha 112009

Transféré par

Droits d'auteur :

Formats disponibles

Cdigo de conducta de proteccin de datos personales en la Universidad de Castilla-La Mancha

16 noviembre 2009 CT/0003/2004

TtuloII Principiosdeproteccinyderechosdelas personas

TtuloIII Gestindelosficheroscondatosdecarcter personal

DATOSQUEDEBENRECTIFICARSE DatoIncorrecto 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. DatoCorrecto DocumentoAcreditativo

DATOSAOPONER Datoaoponer 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. DocumentoAcreditativo

Vous aimerez peut-être aussi