Aquest document conté un conjunt de recomanacions l'objectiu de les quals és garantir la confidencialitat, la integritat i la disponibilitat de les dades personals en l'ús de la GDH. Aquestes recomanacions, pel que fa a la seguretat, constitueixen una aplicació específica de les polítiques de seguretat adoptades pel Servei d'Informàtica i vigents per al conjunt dels sistemes d'informació de la Universitat.
La gestió de la dedicació horària del personal d'administració i serveis de la Universitat de València (GDH) requereix el tractament d'informació personal de les usuàries i els usuaris, la seguretat dels quals resulta essencial garantir tant per part de cada usuària i usuari del sistema com en l'actuació del personal amb la condició de gestor o gestora i administrador o administradora d'aquest sistema. La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades de caràcter personal i garantía dels drets digitals (LOPD) i les normes que la despleguen estableixen el conjunt de principis d'actuació, deures i drets que regeixen en aquest àmbit.
1. Perfils
D'acord amb l'ús, aquest document distingeix tres tipus d'usuària o usuari:
- Final: accedeix a les seues pròpies dades per inserir-hi les hores d'entrada, eixida, etc. i no té obligacions en matèria de seguretat més enllà de salvaguardar la seua contrasenya.
- Personal gestor de la unitat funcional: pot accedir a les dades de tots els empleats i les empleades de la seua unitat.
- Personal administrador: pot accedir a les dades de tots els empleats i les empleades en l'ús de la GDH.
2. Recomanacions per a usuàries o usuaris finals
La informació generada amb l'ús diari de la GDH ha de ser protegida i, sempre, en primer lloc, per la persona titular de les dades. Per això, en l'ús de l'aplicació GDH convé tenir en compte les recomanacions següents:
Nom d'usuari o usuària i contrasenya
El nom d'usuari o d'usuària (login) i la contrasenya (password) personals es vinculen a l'accés al correu electrònic, a l'ús d'espais de disc compartit i intranets, i/o a la sol·licitud de serveis i la utilització de bases dades. Per això:
Són personals i intransferibles, i garanteixen l'atribució al seu titular de qualsevol gestió realitzada en el sistema.
No es permet facilitar-los a terceres persones, ja que pot posar en perill la seguretat en l'organització i constituir, si s'escau, una infracció a la LOPD.
En terminals compartits i en els d'ús col·lectiu mai no han de memoritzar-se automàticament, encara que els navegadors actuals ho permeten. Tampoc no és convenient memoritzar-los en ordinadors d'ús individual. No obstant això, si es fa, cal comptar amb una contrasenya individual d'accés al sistema operatiu i amb un bloqueig que s'active després d'un temps prudencial d'inactivitat.
Contingut en camps de text lliure
En la formalització de camps de text lliure no es permet la inclusió d'informació personal relativa a ideologia, filiació sindical, religió, creences, salut, vida sexual o aspectes racials en cap circumstància. Així, per exemple, quan se sol·licite un permís, no s'hi han d'incloure informacions com ara la malaltia que es pateix.
Notificació d'incidències
Qualsevol incidència pel que fa al funcionament de la GDH o a la veracitat de la informació que conté haurà de comunicar-se a l'administrador o administradora de la GDH: admigdh@uv.es
3. Recomanacions per al personal gestor d'unitat funcional
Per al desenvolupament de l'activitat que els corresponga en la GDH aquest personal ha de tenir en compte diversos criteris:
3.1 Gestió de la informació
La gestió de la informació que conté la GDH ha d'ajustar-se a les guies d'ús i instruccions de Gerència que hi ha disponibles en el web del Servei de Recursos Humans (PAS). L'aplicació d'aquests documents facilita el compliment del principi de qualitat de les dades. Això suposa contribuir al fet que les dades personals contingudes en la GDH:
- Siguen adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats determinades, explícites i legítimes per a les quals s'hagen obtingut.
- No s'utilitzen per a finalitats incompatibles amb aquelles per a les quals s'hagen recollit les dades.
- Siguen exactes i posades al dia, de manera que responguen amb veracitat a la situació actual del titular de les dades personals i que es puguen rectificar o cancel·lar, si escau.
3.2 Secret
El personal qui intervinga en qualsevol fase del tractament de les dades de caràcter personal esta obligat al secret professional sobre aquestes i al deure guardar-les, obligacions que subsistiran fins i tot després de finalitzar les seues relacions amb la Universitat de València.
3.3 Seguretat
La finalitat de la seguretat és garantir la confidencialitat, la integritat i la disponibilitat de les dades. La utilització de recursos i aplicacions informàtiques comporta l'adopció de certes precaucions:
- 3.3.a) Contrasenya (Password)
- Les contrasenyes d'accés al sistema són personals i intransferibles, i el personal usuari és l'únic responsable de les conseqüències que puguen derivar-se del seu mal ús, la seua divulgació o pèrdua.
- No es permet la utilització d'identificadors i contrasenyes d'altres usuaris per a accedir al sistema.
- El personal usuari haurà de mantenir en secret les seues claus d'accés al sistema i haurà d'informar el Servei d'Informàtica sobre qualsevol fet que puga haver compromès aquest secret.
- Les contrasenyes han de canviar-se cíclicament quan així ho demane el o la responsable competent o a petició del sistema.
- En cap cas, s'apuntaran les contrasenyes en suports no protegits com, per exemple, llibretes de notes, notes adhesives (Post-it), etc.
- 3.3.b) Sessions de treball
- El recurs informàtic utilitzat per accedir a la informació es trobarà sempre sota la responsabilitat de personal autoritzat. La informació no pot ser visible a persones no autoritzades.
- Totes les sessions s'han de tancar en acabar la jornada laboral.
- Les sessions s'han de tancar o bloquejar en el supòsit d'absentar-se temporalment del lloc de treball per tal d'evitar accessos no autoritzats. Quan s'abandone el lloc de treball, caldrà deixar-lo de manera que s'impedisca la visualització de les dades protegides, tancant l'aplicació i reiniciant la sessió en tornar-hi.
- No han de quedar documents impresos que continguen dades protegides a la safata d'eixida de la impressora. Si les impressores són compartides amb personal no autoritzat a accedir a la informació de la GDH, caldrà retirar els fulls a mesura que es vagen imprimint.
- 3.3.c) Tractament de les dades personals
- A banda dels supòsits habituals de gestió ordinària de la informació que conté l'aplicació GDH, el personal no ha de copiar aquesta informació al seu ordinador, disquets o a qualsevol altre suport que permeta l'emmagatzematge d'informació.
- La documentació en suport paper que puga generar-se amb motiu de l'ús de l'aplicació s'utilitzarà només per a les seues pròpies finalitats. Quan s'acabe d'utilitzar, s'ha de destruir de manera que la informació resulte inaccessible.
- No podran traslladar-se fora dels locals de la Universitat suports en què s'emmagatzeme informació pròpia de la GDH.
- Tots els suports físics que continguen informació amb dades de caràcter personal procedents de la GDH han de guardar-se en un lloc segur quan no s'utilitzen, particularment fora de la jornada laboral.
- 3.3.d) Fitxers temporals GDH
- Fitxers de caràcter temporal GDH són aquells en què s'emmagatzemen dades de caràcter personal que conté aquesta aplicació i que es generen per al compliment d'una necessitat determinada, sempre que la seua existència no excedisca del primer trimestre de l'any següent al qual facen referència aquestes dades.
- La persona responsable de la gestió a les diferents unitats funcionals GDH i, a través d'aquesta si ho estima convenient, el personal gestor de la unitat funcional, rebrà una explotació de dades bimestrals i una explotació totalitzadora amb caràcter anual del personal de la seua unitat. Ambdues explotacions tindran la consideració de fitxer temporal.
- Els fitxers de caràcter temporal han de ser esborrats una vegada hagen deixat de ser necessaris per als fins que van motivar la seua creació i, mentre siguen vigents, hauran de ser emmagatzemats en un entorn únicament accessible pel personal autoritzat.
- En tot cas, els fitxers bimestrals i el fitxer anual podran ser utilitzats fins que s'acabe el primer trimestre de l'any següent al de referència d'aquestes dades. Després d'aquesta data, hauran de ser esborrats o destruïts de qualsevol suport en què pogueren trobar-se emmagatzemats. Aquesta informació quedarà disponible per al personal GDH autoritzat en cada unitat funcional en les estadístiques de l'aplicació GDH.
- En l'ús de fitxers temporals es respectaran i s'aplicaran les indicacions d'aquest document.
- 3.3.e) Enviaments de correu electrònic
- Si amb motiu del desenvolupament de gestions associades a la GDH s'han de realitzar comunicacions mitjançant el correu electrònic que puguen contenir dades personals dels usuaris o usuàries finals, i en particular aquelles que pogueren afectar-ne la vida privada, s'han de tenir en compte dos criteris d'actuació:
- Si cal enviar un mateix text a diversos destinataris o destinatàries que faça referència a informació personal, per exemple, una situació de malaltia, el correu s'ha d'enviar ocultant la identitat i l'adreça de correu de cadascuna de la resta de persones destinatàries, utilitzant l'opció que hi ha a aquest efecte en les aplicacions de correu electrònic per a la còpia oculta, CCO o BCC.
- Si s'utilitza una de les aplicacions de correu electrònic amb connexió del tipus POP, com Outlook, Eudora o equivalents, cal activar un usuari o usuària i una contrasenya que garantisca la custòdia adequada dels missatges enviats o rebuts.
- Si amb motiu del desenvolupament de gestions associades a la GDH s'han de realitzar comunicacions mitjançant el correu electrònic que puguen contenir dades personals dels usuaris o usuàries finals, i en particular aquelles que pogueren afectar-ne la vida privada, s'han de tenir en compte dos criteris d'actuació:
- 3.3.f) Incidències
- Es defineix com a incidència qualsevol esdeveniment que puga produir-se esporàdicament i puga suposar un perill per a la seguretat del fitxer, d'acord amb els seus tres vessants de confidencialitat, integritat i disponibilitat de les dades.
- Qualsevol incidència pel que fa al funcionament de la GDH o a la veracitat de la informació que conté es comunicarà a través de l'administrador de l'aplicació GDH: admigdh@uv.es.
- Quan el personal tinga coneixement d'una incidència informàtica (funcionament de maquinari o programari, virus etc.), haurà de comunicar-la a través del C.A.U
- El coneixement i la no notificació d'una incidència es considerarà com una falta contra la seguretat del fitxer.