1. Hechos
  2. Normativa sobre petición de datos personales
  3. Recomendación de actuación

1. Hechos

Se prevé el desarrollo de un formulario al objeto de que futuros estudiantes puedan preguntar fácilmente cualquier información técnica y administrativa sobre un máster, así como solicitar el programa detallado del mismo. Prevé tanto la inserción de comentarios como la facilitación de datos telefónicos de contacto.
La gestión requiere del tratamiento de datos personales. 

  1. Metodología para la recogida.
    Registro mediante un formulario de contacto el website oficial del la Universitat de València.
  2. Tipos de datos que se van a requerir:
    • Nombre y apellidos
    • Dirección de correo electrónico.
    • País.
    • Teléfono de contacto (opcional).
    • Comentarios (opcional).

La gestión de esta actividad supone necesariamente la existencia de tratamientos de datos personales.

2. Normativa sobre protección de datos personales

El artículo 5 del RLOPD define tanto los datos personales.

De acuerdo con los hechos verificados se requiere el cumplimiento de los siguientes aspectos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo:

Art. 5 Deber de información en la recogida de datos.
Art. 6 Establecimiento de un procedimiento de obtención del consentimiento.
Art. 10 Fijación de políticas de seguridad.
Art. 4 Calidad de los datos. Condiciones de conservación y tratamiento.

3. Recomendaciones de actuación

A continuación se establecen en formato de tabla, así como en anexos adjuntos el conjunto de acciones que deberán desarrollarse a fin de garantizar el cumplimiento normativo en el desarrollo del proyecto.

La enumeración de las mismas no significa que necesariamente deban ser desarrolladas por el usuario. Antes al contrario deberá invocar el apoyo del soporte técnico de protección de datos personales del Servei d’Informàtica que garantizará el adecuado cumplimiento con su supervisión.

Artículo
Norma
Objeto Verificación
4 LOPD Definición de finalidad y proporcionalidad de los tratamientos Los datos únicamente podrán tratarse con la finalidad de gestionar el servicio y finalidades relacionadas como medir la calidad. Cualquier uso posterior deberá comunicarse a la recepción de este informe a fin de  precisar adecuadamente las políticas de privacidad.
4 LOPD Determinación del periodo de conservación Deberá establecerse el periodo de conservación de los datos en función de la finalidad del tratamiento. En tal sentido, se aplicará el criterio del periodo mínimo imprescindible.  Puede considerarse razonable el periodo correspondiente a un curso académico a contar no desde el inicio oficial del curso sino desde el momento del anuncio del máster hasta su finalización académica. IMPORTANTE. Una vez finalizado se pondrá a disposición del Servei d’Informàtica, previo contacto vía lopd@uv.es, una copia de la base de datos para su conservación bloqueada, procediéndose después a su borrado.
5 LOPD Información en la recogida de datos personales Deberán incluirse las políticas de privacidad incluidas en modelo en anexo. Se incluirán del siguiente modo:
  • En la página principal.
  • En el texto de confirmación del alta o registro.
Arts. 6 Obtención del consentimiento Deberá contarse con la correspondiente documentación que acredite su obtención. Por tanto deberán guardarse en la carpeta de trabajo tanto los mensajes de correo electrónico cómo cualquier otro documento que acredite tal manifestación de voluntad.
Asimismo, en las confirmaciones de alta o participación y en los acuses de recibo se incluirán las políticas de privacidad del Anexo I.
Arts. 9 y 10 LOPD Secreto y seguridad Los gestores de la actividad deben  garantizar la seguridad y el secreto de la información a la que accedan. (Véase anexo). Las medidas concretas que deban adoptarse se adoptarán de acuerdo con el apoyo del soporte técnico de protección de datos personales del Servei d’Informàtica que garantizará el adecuado cumplimiento con su supervisión.
OBSERVACIÓN En la toma de requerimientos no se ha indicado si existe la opción “envíenos más información sobre los programas de máster”. No obstante en el informe se prevé tal posibilidad. Si se ejecuta la misma el periodo de conservación de los datos y su uso no se extendería a un plazo de un curso sino que se mantendría mientras el estudiante no revocase el consentimiento.

ANEXO I. INFORMACIÓN SOBRE PRIVACIDAD

Formulario página web

La solicitud de información  presentada por este medio implica que acepta el tratamiento de los datos personales necesarios para la atención de su pregunta o solicitud.

Puede ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento, mediante presentación de escrito adjuntando documento identificativo.

Para ello diríjase a:
Protección de datos
Servei d’Informàtica
C/ Amadeo de Saboya, 4
46010, Valencia”.
(Se recomienda que en su solicitud indique Vd. “Buzón de posgrado”).

Formulario página web con mantenimiento de datos para fines futuros

La solicitud de información  presentada por este medio implica que acepta la inclusión en nuestros sistemas de información y el tratamiento de los datos personales necesarios para la atención de su pregunta o solicitud.

? Marque aquí si desea Vd. recibir información sobre los programas de posgrado y doctorado de la Universitat de València.
Puede ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento, mediante presentación de escrito adjuntando documento identificativo.

Para ello diríjase a:
Protección de datos
Servei d’Informàtica
C/ Amadeo de Saboya, 4
46010, Valencia”.
(Se recomienda que en su solicitud indique Vd. “Buzón de posgrado”).

Mensaje de confirmación en alta para recibir información

Ha solicitado recibir información sobre los programas de posgrado y doctorado de la Universitat de València. Recuerde que autoriza la inclusión en nuestros sistemas de información para esta finalidad. Para darse de baja escriba posgrado@uv.es.

En todo caso puede Vd. consultar las políticas generales de privacidad de la Universitat de València disponibles en el website institucional.

ANEXO II. COMPROMISO DE CONFIDENCIALIDAD/SEGURIDAD

Compromiso de seguridad/confidencialidad

Los abajo firmantes, personas vinculadas a la gestión dla actividad Internacional “Derechos y políticas sociales en Europa: Problemas actuales y soluciones para salir de la crisis”, organizado por la Universitat de València

DECLARAN,
Que en el desarrollo del mismo tratan datos de carácter personal y se comprometen a guardar secreto profesional y garantizar la seguridad respecto de los mismos, obligaciones que subsistirán aun después de finalizar sus relaciones con el citado proyecto.
Que se comprometen a aplicar y cumplir la siguiente

Normativa de seguridad y privacidad

  1. Seguridad en el uso de medios informáticos
    1. No se almacenarán recursos que contengan datos personales en medios propios.
    2. Se utilizarán exclusivamente cuentas de correo de la Universitat de València (@uv.es) y las unidades disco.uv.es para el almacenamiento de información.
    3. A los efectos de esta normativa la información se considera confidencial o restringida.
  2. Controles de acceso físico y lógico
    1. La información se almacenará en medios, recursos o áreas sólo accesibles a personas autorizadas.
    2. Cada usuario podrá acceder exclusivamente a los recursos y sistemas de información autorizados.
    3. Los ordenadores y equipos vinculados al desarrollo del trabajo deberán disponer de un sistema de validación de usuario y contraseña.
    4. En caso de ausencia del puesto, de trabajo en espacios que no excluyan a terceros debe procederse al bloqueo del puesto que en todo caso deberá producirse automáticamente tras 15 minutos de inactividad. En particular, cuando se trate de ámbitos como una biblioteca el propio usuario deberá bloquear el acceso al abandonar el puesto.
    5. En el diseño del puesto de trabajo se asegurará que la pantalla no resulte accesible o legible para terceros no autorizados.
    6. Debe procederse a apagar el ordenador al finalizar el periodo de trabajo, así como evitar el uso del mismo por terceras personas.
    7. Las contraseñas no deben ser almacenadas en ficheros legibles, macros, PCs sin control de acceso o ningún otro lugar donde puedan ser accedidas por personas sin autorización.
    8. Es recomendable proceder al cambio de contraseñas cuando lo solicite el sistema, o en todo caso a iniciativa propia. Siempre deberá utilizar contraseñas seguras que incorporen ocho o más caracteres, mayúsculas, números o signos y que no deben ser palabras, nombres o conceptos.
    9. Nunca debe facilitar los datos de usuario y contraseña a ningún tercero.
    10. El acceso remoto a los sistemas de información de la Universitat de València deberá realizarse a través de la red privada virtual o bien a través de los medios seguros que proporciona la Universitat como https://disco.uv.es/. El usuario aplicará al equipo que utilice las normas de seguridad contenidas en este apartado para los equipos ubicados en puestos de la Universitat de València.
  3. Uso, mantenimiento y destrucción de dispositivos o soportes que contengan información protegida
    1. Cuando ello fuera posible la información objeto de tratamiento en soporte no automatizado (papel) se almacenará en dispositivos cerrados con llave o en salas o despachos habilitados por la Universitat de València y de acceso exclusivo para las personas autorizadas. Durante su utilización se encontrara siempre bajo la custodia de un usuario autorizado.
    2. Como regla general se recomienda no sacar la documentación fuera de los despachos y espacios físicos destinados a la gestión en la Universitat de València. No obstante, habida cuenta de la naturaleza de un congreso se entiende autorizada la salida de documentos fuera de tales instalaciones correspondiendo al gestor la custodia de las mismas.
      Los documentos deberán custodiarse adecuadamente por sus portadores. Así mismo, se notificará a los responsables de Protección de Datos de la Universitat de València de dicho uso autorizado a través del correo electrónico lopd@uv.es
    3. No se debe dejar abandonada información en la impresora, fax o dispositivos similares, o desatendida en el puesto de trabajo.
    4. Cuando la información sea calificada como restringida o confidencial deberá guardarse en los lugares designados al efecto por el usuario al final de la jornada y, en todo caso, al abandonar el puesto cuando su conformación no permita que esté bajo el control de algún usuario.
    5. Antes de abandonar salas comunes o permitir que alguien ajeno entre, se limpiarán adecuadamente las pizarras de las salas de reuniones o despachos que contuvieran información relacionada con el proyecto, cuidando que no quede ningún tipo de información sensible o que pudiera ser reutilizada.
    6. La impresión o fotocopia de documentos debe limitarse únicamente aquellos que sean estrictamente necesarios y preferiblemente a doble cara. Los documentos desechados, incluidas las fotocopias erróneas no podrán ser reutilizados cuando contengan datos personales o información confidencial o restringida debiéndose proceder a su inmediata destrucción.
    7. En el caso de reutilización de documentos impresos el usuario comprobará previamente que éstos no contienen datos de carácter personal, comunicando la incidencia en caso contrario.
    8. La destrucción de cualquier tipo de soporte automatizado (CD, DVD, Disco duro, Pen-drive, etc.) o manual (papel, cintas de vídeo, etc.) se realizará de forma que los datos que contenían no sean recuperables y en su caso a través de los procedimientos establecidos.
    9. No podrán donarse soportes informáticos que contengan información protegida a ningún tercero sin que previamente se haya realizado un borrado completo del mismo.
    10. Queda prohibido alojar información confidencial o restringida propia de la Universitat de València en servidores externos en la “nube” no ofrecidos por la propia institución, en particular cuando se trate de datos personales contenidos en los sistemas de información. Para ello se hará uso de los espacios de disco corporativos (http://disco.uv.es). No se admite por tanto el uso de servicios de terceros como Gmail, DropBox etc.
    11. El usuario es responsable de un uso adecuado de los dispositivos portátiles. Debe mantenerlos bajo su custodia y no permitir su uso a ningún tercero. Si se conecta externamente a la Universitat debe hacerlo siempre mediante la red privada virtual VPN. Si el dispositivo fuese robado o extraviado debe notificarse inmediatamente a la Universitat de València, siguiendo el Procedimiento de Gestión de Incidencias.
  4. Correo electrónico y red corporativa
    1. El envío de datos o información a terceros (cesión de datos), por medio del correo electrónico, transferencia FTP o equivalente deberá estar autorizada, por el Responsable para la finalidad exclusiva para la cual sea necesario. Cuando la información sea calificada como confidencial sólo será admisible mediante un procedimiento que impida accesos no autorizados.
    2. No deben abrirse correos electrónicos no solicitados, de remitentes desconocidos o de remitentes conocidos que puedan levantar sospechas. Asimismo, no deben ejecutarse archivos no confiables.
    3. El usuario se hace responsable de los accesos a Internet que puedan comprometer la seguridad del equipo.
    4. El acceso a información corporativa se realizará a través de la red de datos corporativa. También se realizará mediante la Intranet, cuyo acceso estará limitado a los usuarios que deban usarla mediante autenticación por nombre de usuario y contraseña.
  5. Recursos informáticos
    1. Todo usuario debe mantener actualizados los sistemas operativos, antivirus y cortafuegos (firewalls) de su equipo de trabajo mediante actualizaciones automáticas y en todo caso de acuerdo con los procedimientos consultables a través del Centro de Atención al Usuario (CAU). 
  6. Incidencias de seguridad
    1. El usuario debe comunicar cualquier Incidencia de Seguridad que a su juicio ponga en peligro información protegida mediante notificación a lopd@uv.es.
  7. Publicación
    1. La publicación de datos solo será posible en aquellos casos en los que se haya obtenido la debida autorización y únicamente para la finalidad prevista.
    2. La información publicada debe garantizar los principios de proporcionalidad, autenticidad e integridad. En todo caso no se publicará información que pueda lesionar la dignidad de las personas y en particular de los menores de edad que en ningún caso podrán ser identificados o identificables.
  8. Autorizaciones
    1. La recogida de información personal o corporativa, así como la captación de imágenes y sonidos sólo será posible cuando se haya obtenido previamente la debida autorización.
    2. En caso de los menores o incapaces esta autorización corresponderá al padre, madre o representante o tutor legal, en su caso previa información a los responsables del centro educativo o equivalente.