Este documento contiene un conjunto de recomendaciones el objetivo de las cuales es garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales en el uso de la GDH. Estas recomendaciones, con respecto a la seguridad, constituyen una aplicación específica de las políticas de seguridad adoptadas por el Servicio de Informática y vigentes para el conjunto de los sistemas de información de la Universidad.
La gestión de la dedicación horaria del personal de administración y servicios de la Universitat de València (GDH) requiere el tratamiento de información personal de las usuarias y los usuarios, la seguridad de los cuales resulta esencial garantizar tanto por parte de cada usuaria y usuario del sistema como en la actuación del personal con la condición de gestor o gestora y administrador o administradora de este sistema. La Ley orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de derechos digitales (LOPD) y las normas que la despliegan establecen el conjunto de principios de actuación, deberes y derechos que rigen en este ámbito.
1. Perfiles
De acuerdo con el uso, este documento distingue tres tipos de usuaria o usuario:
- Final: accede a sus propios datos para insertar las horas de entrada, salida, etc. y no tiene obligaciones en materia de seguridad más allá de salvaguardar su contraseña.
- Personal gestor de la unidad funcional: puede acceder a los datos de todos los empleados y las empleadas de su unidad.
- Personal administrador: puede acceder a los datos de todos los empleados y las empleadas en el uso de la GDH.
2. Recomendaciones para usuarias o usuarios finales
La información generada con el uso diario de la GDH tiene que ser protegida y, siempre, en primer lugar, por la persona titular de los datos. Por esto, en el uso de la aplicación GDH conviene tener en cuenta las recomendaciones siguientes:
Nombre de usuario o usuaria y contraseña
El nombre de usuario o de usuaria (login) y la contraseña (password) personales se vinculan al acceso al correo electrónico, al uso de espacios de disco compartido e intranets, y/o a la solicitud de servicios y la utilización de bases datos. Por esto:
Son personales e intransferibles, y garantizan la atribución a su titular de cualquier gestión realizada en el sistema.
No se permite facilitarlos a terceras personas, puesto que puede poner en peligro la seguridad en la organización y constituir, si se tercia, una infracción a la LOPD.
En terminales compartidos y en los de uso colectivo nunca tienen que memorizarse automáticamente, aunque los navegadores actuales lo permiten. Tampoco es conveniente memorizarlos en ordenadores de uso individual. Sin embargo, si se hace, hay que contar con una contraseña individual de acceso al sistema operativo y con un bloqueo que se activo después de un tiempo prudencial de inactividad.
Contenido en campos de texto libre
En la formalización de campos de texto libre no se permite la inclusión de información personal relativa a ideología, filiación sindical, religión, creencias, salud, vida sexual o aspectos raciales en ninguna circunstancia. Así, por ejemplo, cuando se solicito un permiso, no se tienen que incluir informaciones como por ejemplo la enfermedad que se sufre.
Notificación de incidencias
Cualquier incidencia con respecto al funcionamiento de la GDH o a la veracidad de la información que contiene tendrá que comunicarse al administrador o administradora de la GDH: admigdh@uv.es
3. Recomendaciones para el personal gestor de unidad funcional
Para el desarrollo de la actividad que los corresponda en la GDH este personal tiene que tener en cuenta varios criterios:
3.1 Gestión de la información
La gestión de la información que contiene la GDH tiene que ajustarse a las guías de uso e instrucciones de Gerencia que hay disponibles en la web del Servicio de Recursos Humanos (). La aplicación de estos documentos facilita el cumplimiento del principio de calidad de los datos. Esto supone contribuir al hecho que los datos personales contenidos en la GDH:
- Sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las cuales se hayan obtenido.
- No se utilizan para finalidades incompatibles con aquellas para las cuales se hayan recogido los datos.
- Sean exactos y puestas al día, de forma que respondan con veracidad a la situación actual del titular de los datos personales y que se puedan rectificar o cancelar, si procede.
3.2 Secreto
El personal quien intervenga en cualquier fase del tratamiento de los datos de carácter personal esta obligado al secreto profesional sobre estas y al deber de guardarlas, obligaciones que subsistirán incluso después de finalizar sus relaciones con la Universitat de València.
3.3 Seguridad
La finalidad de la seguridad es garantizar la confidencialidad, la integridad y la disponibilidad de los datos. La utilización de recursos y aplicaciones informáticas compuerta la adopción de ciertas precauciones:
- 3.3.a) Contraseña (Password)
- Las contraseñas de acceso al sistema son personales e intransferibles, y el personal usuario es el único responsable de las consecuencias que puedan derivarse de su mal uso, su divulgación o pérdida.
- No se permite la utilización de identificadores y contraseñas otros usuarios para acceder al sistema.
- El personal usuario tendrá que mantener en secreto sus claves de acceso al sistema y tendrá que informar el Servicio de Informática sobre cualquier hecho que pueda haber comprometido este secreto.
- Las contraseñas tienen que cambiarse cíclicamente cuando así lo pido el o la responsable competente o a petición del sistema.
- En ningún caso, se apuntarán las contraseñas en apoyos no protegidos cómo, por ejemplo, libretas de notas, notas adhesivas (Tabla-it), etc.
- 3.3.b) Sesiones de trabajo
- El recurso informático utilizado para acceder a la información se encontrará siempre bajo la responsabilidad de personal autorizado. La información no puede ser visible a personas no autorizadas.
- Todas las sesiones se tienen que cerrar al acabar la jornada laboral.
- No tienen que quedar documentos imprimidos que contengan datos protegidos a la bandeja de salida de la impresora. Si las impresoras son compartidas con personal no autorizado a acceder a la información de la GDH, habrá que retirar las hojas a medida que se vayan imprimiendo.
- 3.3.c) Tratamiento de los datos personales
- Además de los supuestos habituales de gestión ordinaria de la información que contiene la aplicación GDH, el personal no tiene que copiar esta información a su ordenador, disquetes o a cualquiera otro apoyo que permita el almacenamiento de información.
- La documentación en apoyo papel que pueda generarse con motivo del uso de la aplicación se utilizará sólo para sus propias finalidades. Cuando se acabo de utilizar, se tiene que destruir de forma que la información resulto inaccesible.
- No podrán trasladarse fuera de los locales de la Universidad apoyos en que se almaceno información propia de la GDH.
- Todos los apoyos físicos que contengan información con datos de carácter personal procedentes de la *GDH tienen que guardarse en un lugar seguro cuando no se utilizan, particularmente fuera de la jornada laboral.
- 3.3.d) Ficheros temporales GDH
- Ficheros de carácter temporal GDH son aquellos en que se almacenan datos de carácter personal que contiene esta aplicación y que se generan para el cumplimiento de una necesidad determinada, siempre que su existencia no exceda del primer trimestre del año siguiente al cual hagan referencia estos datos.
- La persona responsable de la gestión a las diferentes unidades funcionales GDH y, a través de esta si lo estima conveniente, el personal gestor de la unidad funcional, recibirá una explotación de datos bimestrales y una explotación totalizadora con carácter anual del personal de su unidad. Ambas explotaciones tendrán la consideración de fichero temporal.
- Los ficheros de carácter temporal tienen que ser borrados una vez hayan dejado de ser necesarios para los hasta que motivaron su creación y, mientras sean vigentes, tendrán que ser almacenados en un entorno únicamente accesible por el personal autorizado.
- En todo caso, los ficheros bimestrales y el fichero anual podrán ser utilizados hasta que se acabo el primer trimestre del año siguiente al de referencia de estos datos. Después de esta fecha, tendrán que ser borrados o destruidos de cualquier apoyo en qué pudieron encontrarse almacenados. Esta información quedará disponible para el personal GDH autorizado en cada unidad funcional en las estadísticas de la aplicación GDH.
- En el uso de ficheros temporales se respetarán y se aplicarán las indicaciones de este documento.
- 3.3.e) Envíos de correo electrónico
- Si con motivo del desarrollo de gestiones asociadas a la GDH se tienen que realizar comunicaciones mediante el correo electrónico que puedan contener datos personales de los usuarios o usuarias finales, y en particular aquellas que pudieran afectar la vida privada, se tienen que tener en cuenta dos criterios de actuación:
- Si hay que enviar un mismo texto a varios destinatarios o destinatarias que haga referencia a información personal, por ejemplo, una situación de enfermedad, el correo se tiene que enviar ocultando la identidad y la dirección de correo de cada una del resto de personas destinatarias, utilizando la opción que hay a tal efecto en las aplicaciones de correo electrónico para la copia oculta, CCO o BCC.
- Si se utiliza una de las aplicaciones de correo electrónico con conexión del tipo POP, como Outlook, Eudora o equivalentes, hay que activar un usuario o usuaria y una contraseña que garantice la custodia adecuada de los mensajes enviados o recibos.
- Si con motivo del desarrollo de gestiones asociadas a la GDH se tienen que realizar comunicaciones mediante el correo electrónico que puedan contener datos personales de los usuarios o usuarias finales, y en particular aquellas que pudieran afectar la vida privada, se tienen que tener en cuenta dos criterios de actuación:
- 3.3.f) Incidencias
- Se define como incidencia cualquier acontecimiento que pueda producirse esporádicamente y pueda suponer un peligro para la seguridad del fichero, de acuerdo con sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.
- Cualquier incidencia con respecto al funcionamiento de la GDH o a la veracidad de la información que contiene se comunicará a través del administrador de la aplicación GDH: admigdh@uv.es.
- Cuando el personal tenga conocimiento de una incidencia informática (funcionamiento de hardware o software, virus etc.), tendrá que comunicarla a través del C.A.U.
- El conocimiento y la no notificación de una incidencia se considerará como una falta contra la seguridad del fichero.