Uso de cookies

En las páginas web de la Universidad Carlos III de Madrid utilizamos cookies propias y de terceros para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación. Al continuar con la navegación, entendemos que se acepta nuestra política de cookies. "Normas de uso"

Protección de Datos

Las administraciones públicas y las empresas privadas siempre han utilizado datos de las personas para poder realizar su trabajo. Debido al uso de la informática y las nuevas tecnologías, se ha hecho necesario crear leyes y organismos que garanticen la intimidad y el buen uso de estos datos.

La protección de datos vive un momento decisivo, con retos constantes que obligan a escuchar atentamente las necesidades que se plantean. Por ello la Unión Europea ha impulsado el Reglamento 2016/679 relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de los datos personales, comúnmente conocido como Reglamento General de Protección de Datos o RGPD.

El RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación.

Todas las organizaciones tienen ficheros con datos personales, y deben cumplir las obligaciones que regula el Reglamento, en caso contrario, se arriesgan a ser sancionadas por su incumplimiento.

¿Qué son los datos personales?

Son informaciones sobre la persona utilizadas por administraciones o empresas. Algunos ejemplos de datos personales son: el nombre y apellidos, la dirección, la ocupación, la fotografía, la formación y nivel de estudios, los ingresos, etc.

Existen unos datos que están especialmente protegidos: la ideología y creencias, la afiliación sindical, la raza, salud y vida sexual, etc.

¿Cómo se deben usar los datos personales?

Es necesario informar acerca de cual va a ser la utilización de los datos. Las administraciones o empresas que los utilicen DEBEN:

  • Solicitar el consentimiento si no existe una norma legal que lo autorice
  • Pedir sólo los datos justos y adecuados para cumplir con la finalidad para la cual se solicitan
  • Hacer que sus empleados y empleadas guarden secreto profesional
  • Utilizar medidas técnicas y organizativas para garantizar la seguridad de los datos personales.

¿Qué derechos tienen los usuarios?

  • Obtener información previa sobre cuál es el motivo por el que se solicitan los datos. Conocer qué datos se tienen sobre él.
  • Rectificar o suprimir datos cuando sean inexactos o incompletos.
  • Impugnar decisiones que les afecten significativamente basadas sólo en datos que midan aspectos de su personalidad
  • Oponerse al tratamiento en determinadas circunstancias
  • Tutela de las Agencias de Protección de Datos para que se tengan en cuenta sus derechos
  • Más información sobre derechos y reclamaciones:
    Conoce tus derechos
    Reclamaciones

 

¿Qué leyes amparan a los usuarios?

La utilización de datos de carácter personal está limitada por las leyes para garantizar el buen uso de éstos y la intimidad de las personas, las principales normativas de aplicación son:

  • La Carta de Derechos Fundamentales de la Unión Europea.
  • Reglamento 2016/679 relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de los datos personales.
  • La Constitución Española.
  • La Ley Orgánica 3/2018, de 5 de diciembre,  de Protección de Datos Personales y Garantía de Derechos Digitales.

¿Cómo afecta esto al personal de la Universidad?

1. El cumplimiento del Reglamento es su responsabilidad

2. Si utiliza y/o tiene algún fichero que contenga datos de carácter personal está sujeto a la aplicación del Reglamento.

3. ES FÁCIL cumplir el Reglamento siguiendo unas pautas básicas. La Universidad le ayudará, siga nuestras indicaciones y le será más fácil.

¿Qué se debe HACER?

1.- Asistir al menos a una sesión informativa sobre protección de datos.

2.- Enviar la información sobre aquellos tratamientos que considere pueden estar sujetos a la aplicación del Reglamento.

3.- Seguir las siguientes pautas básicas de manera inmediata:

  • No ceda a nadie ajeno a la Universidad ficheros con datos personales
  • No deje que estos ficheros sean accesibles a través de Internet enlazándolos en páginas Web o cosas similares
  • No envíe estos ficheros por correo electrónico si contienen datos especialmente protegidos. Deje siempre apagado el ordenador donde los tenga almacenados y utilice salvapantallas con clave
  • No deje abiertas pantallas del programa que esté utilizando para acceder a los datos si no está delante de su ordenador
  • Tenga copia de seguridad guardada de estos ficheros en un cajón/armario con llave (o copia realizada por el Servicio de Informática)
  • Si solicita información con datos personales a terceros (alumnos, profesores, personas externas a la Universidad,… etc.) mediante un formulario y guarda estos datos en un fichero asegúrese de que pone las cláusulas pertinentes en esos formularios.
  • No solicite nunca más información de la imprescindible
  • Recopile todos aquellos formularios en papel o electrónicos que utilice habitualmente en su gestión diaria y compruebe si llevan las oportunas cláusulas según el modelo. Si no es así proceda a elaborar otros que la incluyan
  • No publique nunca listados de notas en papel o en páginas Web a no ser que se trate de un proceso en el que exista concurrencia competitiva (oposiciones, accesos, etc)
  • No ponga directorios de personal en papel o en Internet de forma discriminada, de libre acceso y sin control
  • Guarde bajo llave aquellos documentos que puedan contener datos personales
  • Destruya el papel y soportes que contengan datos personales
  • Imprima/Fotocopie exclusivamente los datos personales que sean necesarios. Recójalos siempre y destrúyalos una vez utilizados
  • .Siga las recomendaciones en materia de seguridad informática contenidas en la Guía "La seguridad informática también es cosa tuya" que se puede descargar en este enlace.
    Consulte cualquier duda a la dirección de correo electrónico: protdatos@uc3m.es

 

¿Nos pueden sancionar?

Frente a las vulneraciones que pueden cometerse en materia de protección de datos, el Reglamento establece una serie de sanciones cuyas repercusiones se hacen depender directamente de la gravedad de las infracciones cometidas tanto por los que son directamente responsables como por los encargados del tratamiento de los ficheros que almacenen los datos de carácter personal.

Protocolo de actuación ante una brecha de seguridad de los datos personales

INTRODUCCIÓN

El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, (RGPD) establece en su artículo 33 la obligación de notificar las brechas de los datos personales que puedan suponer un riesgo para los derechos y libertades de las personas físicas a la Autoridad de Control competente. Así mismo, en el artículo 34 del RGPD se establece la obligación del responsable de comunicar las brechas de datos personales a los afectados, personas físicas, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. Los artículos 33 y 34 del RGPD exponen la necesidad de que las organizaciones integren dentro de sus políticas de información un proceso de gestión de brechas de datos personales que concrete cómo la organización va a dar cumplimiento a sus obligaciones con respecto a las brechas. Este protocolo responde a dicha necesidad.

¿QUÉ ES UNA BRECHA DE SEGURIDAD?

El RGPD  define, de un modo amplio, las “brechas de datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Es importante detectar de manera precoz la existencia de una brecha de seguridad que afecte a los derechos de los interesados cuyos datos trata la Universidad como responsable o encargada el tratamiento. Ante cualquier duda al respecto de la existencia de una posible brecha de seguridad de los datos personales hay que ponerse en contacto de manera inmediata con el Delegado de Protección de Datos de la Universidad en la dirección de correo: dpd@uc3m.es o en el siguiente número de teléfono: 608881858

FIGURAS IMPLICADAS EN UNA BRECHA DE SEGURIDAD.

En la detección y en la gestión de una brecha de seguridad están implicadas las siguientes figuras: Responsable de tratamiento (La Universidad): le corresponde aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD. En su caso, deberá garantizar que se notifica la brecha de datos personales a la autoridad competente sin dilación indebida, y también que se comunicará la brecha de datos personales a los afectados cuando sea necesario.

El responsable de tratamiento deberá contar con el asesoramiento del delegado de protección de datos y con el asesoramiento de expertos en materia de seguridad, como el CISO de la organización, o los servicios informáticos propios o que pueda tener subcontratados. Para la detección y gestión de los incidentes de seguridad es esencial, clave e imprescindible la implicación y participación activa de los gestores directos de los datos personales (empleados y otras personas vinculadas de otro modo con la Universidad)

Encargado del tratamiento (La Universidad): le corresponde informar al responsable de tratamiento sin dilación indebida de las brechas de datos personales que afecten a los tratamientos encargados, sin perjuicio de las obligaciones adicionales que pueda haber adquirido en virtud del contrato de encargo de tratamiento.

La información al responsable de tratamiento debe incluir los detalles necesarios para que el responsable pueda cumplir con sus obligaciones, en particular la de evaluar el riesgo de la brecha de datos personales y en su caso notificarla a la Autoridad de Control y/o comunicar a los afectados.

Para la detección y gestión de los incidentes de seguridad es esencial, clave e imprescindible la implicación y participación activa de los gestores directos de los datos personales (empleados y otras personas vinculadas de otro modo con la Universidad)

Delegado de protección de datos (DPD): El DPD ocupará un papel muy relevante en el proceso de gestión de brechas.

El RGPD encomienda al DPD la función de informar y asesorar al responsable o encargado de las obligaciones que les incumben, incluidas las relativas a la gestión y notificación de las brechas de datos personales, así como cooperar con la Autoridad de Control y actuar como punto de contacto de la Autoridad de Control para cuestiones relativas al tratamiento. El DPD por tanto deberá informar y asesorar al responsable/encargado del tratamiento respecto de:

  • la implantación de un proceso de gestión de brechas de datos personales en la organización,
  • la evaluación del riesgo y las consecuencias que puede suponer para los derechos y libertades de las personas una brecha de datos personales,
  • las acciones adecuadas que se deben tomar para mitigar los efectos de la brecha de datos personales sobre las personas afectadas,
  • la necesidad de notificar la brecha de datos personales a la Autoridad de Control y en su caso a los interesados afectados,
  • en el caso de encargados de tratamiento, la necesidad de notificar la brecha de datos personales al responsable

El responsable de tratamiento, y encargado de tratamiento en su caso, debe dotar al DPD de los medios necesarios y la información para el ejercicio de sus funciones. No obstante, la responsabilidad recae ineludiblemente en el responsable y encargado de tratamiento respecto de las obligaciones de cada uno de ellos.

¿QUÉ HAY QUE HACER ANTE UNA BRECHA DE SEGURIDAD?

Como se ha señalado, hay que ponerse de manera urgente e inmediata en contacto con el DPD para facilitarle toda la información relacionada con la brecha de seguridad, y en particular la siguiente:

 

- Identificación del tratamiento afectado (Registro de Actividades de Tratamiento)

- Descripción de la naturaleza de la violación de la seguridad de los datos personales, si afecta a la confidencialidad, la integridad o la disponibilidad. Confidencialidad: Una brecha afecta a la confidencialidad cuando los datos personales de un tratamiento han podido ser accedidos por terceros sin permiso, incluyendo cuando los datos son exfiltrados. Esto incluye, por ejemplo, los casos de intrusión en sistema de información con acceso y/o exfiltración de datos personales, el envío de datos personales por error, la pérdida de dispositivos o documentación con datos personales, malware de tipo ransomware con exfiltración de datos, etc. Es importante saber si los datos personales afectados estaban (total o parcialmente) cifrados de forma segura, anonimizados o protegidos de forma que sean ininteligibles para quien haya tenido acceso a dichos datos o lo pueda tener en el futuro. Si es así, las consecuencias de la brecha de confidencialidad quedan en gran medida mitigadas, reduciendo o incluso anulando los riesgos derivados del incidente. Disponibilidad: Una brecha afecta a la disponibilidad de los datos personales cuando han estado inaccesibles de forma temporal o permanente para quien legítimamente debe poder tratarlos o acceder a ellos. Esta situación puede ocurrir por sucesos que afecten a los datos personales en sí mismos o también por sucesos que afecten a los sistemas utilizados Integridad: Una brecha afecta a la integridad cuando se han alterado los datos personales de forma ilegítima y el tratamiento de esos datos personales puede causar un daño a los afectados. Por ejemplo, un tercero ha modificado en la base de datos de la organización la información relativa a los datos bancarios de los empleados que se utilizan para el pago de las nóminas, o un alumno modifica las calificaciones en la base de datos de un centro educativo.

 - Las categorías y el número aproximado de interesados afectados, (especial referencia a si hay menores u otros colectivos especialmente vulnerables)

- Las categorías y el número aproximado de registros de datos personales afectados; tipo de datos afectados. Identificativos, datos especialmente protegidos.

- Datos básicos: Nombre, apellidos o la fecha de nacimiento de los afectados

- Datos de contacto: Número de teléfono, email o dirección física de las personas.

 - Imágenes (foto/video) Imágenes individuales o colectivas de las personas afectadas.

 - Documento identificativo NIF, NIE, pasaporte, número de Seguridad Social o cualquier otro identificador a nivel nacional o extra nacional.

- Datos económicos o financieros, datos referidos a nóminas, extractos bancarios, estudios económicos o cualquier otra información que pueda revelar información económica de los afectados.

 - Datos de localización (datos de ubicación de la persona en un determinado momento o durante un periodo de tiempo)

- Datos de posicionamiento, coordenadas o direcciones habituales (no residencia) de los afectados.

- Medios de pago (números de tarjeta o cuenta bancaria) Información de los afectados referido a métodos de pago como números de tarjeta, cuentas bancarias, métodos de pago online como Paypal, bitcoins, etc.

- Credenciales de acceso o identificación Nombres de usuarios, contraseñas ya estén en claro, hasheadas o cifradas y datos como tarjetas de coordenadas o segundos factores de autenticación.

- Datos de perfiles: Perfiles de usuarios en redes o datos de perfilado psicosocial o que permitan realizar perfilados de personas físicas.

- Sobre la vida sexual: Datos relativos a la salud sexual, hábitos, orientación o tendencias sexuales, así como información que permita inferirlos.

- Religión o creencias Religión que profesan los afectados, así como información sobre posturas religiosas, agnósticas o ateas.

- Origen racial o étnico: Información que refleje o permita establecer el origen racial o la pertenencia a una determinada etnia de las personas.

- Datos de salud: De empleados Información sobre la salud que un responsable trate sobre sus empleados o personas con las que mantiene una relación laboral, como puedan ser partes de baja o informes sanitarios.

- Datos de salud de pacientes referidos a la información que los responsables del sector sanitario dispongan de las personas.

 - Opinión política: Información que refleje o permita averiguar la opinión o tendencias políticas de las personas.

- Datos genéticos Características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica.

- Datos sobre condenas e infracciones penales: Certificados de antecedentes penales o los certificados de delitos de naturaleza sexual.

- Datos biométricos Características físicas, fisiológicas o conductuales de una persona física, que permita su identificación.

 - Datos sobre afiliación sindical, que informan sobre la pertenencia o afiliación de una persona a un sindicato.

 - Las posibles consecuencias de la violación de la seguridad de los datos personales. Imposibilidad de ejercer algún derecho o acceso a un servicio. Usurpación de la identidad. Víctima de campañas de phishing/spamming Pérdidas financieras. Daños reputacionales. Pérdida de confidencialidad de datos afectados por secreto profesional. Daños psicológicos o físicos. Pérdida de control sobre sus datos personales.

- Propuesta de medidas a adoptar por la Universidad para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Hay que implantar medidas para evitar que la brecha vuelva a producirse.

A efectos ilustrativos, se facilita en este enlace el contenido del formulario electrónico de la AEPD que ha de cumplimentarse al comunicar una brecha de seguridad. https://www.aepd.es/media/formularios/formulario-brechas.pdf

ASPECTOS RELACIONADOS CON LA GESTIÓN DE LA BRECHA DE SEGURIDAD POR LA UNIVERSIDAD.

La autoridad de control a la que ha de comunicarse, en su caso, una brecha de seguridad por la Universidad es la Agencia Española de Protección de Datos. El Delegado de Protección de Datos, en coordinación con el CISO, se encargará de impulsar las actuaciones en la Universidad para la gestión de la brecha de seguridad de los datos personales: Se encargará de: i) recabar la información adicional que se precise; ii) asesorar a la Universidad al respecto de la brecha (afectación o no de la brecha a datos personales, vulneración de los derechos de los interesados, comunicación o no de la brecha a la AEPD, medidas correctoras a adoptar, procedencia o no de la comunicación a los interesados, etc…); iii) recabar, en su caso, autorización para la comunicación de la brecha de seguridad a la AEPD; y iv) realizará dicha comunicación. Asimismo, el DPD asesorará al responsable sobre la realización de la comunicación a los interesados y el modo y la forma de hacerla, y recabará autorización para ello de la Universidad. Estas comunicaciones se realizarán prioritariamente por correo electrónico a la dirección institucional de la Universidad.

MAS INFORMACIÓN: Información adicional: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-datos-personales-notificacion

Guía de la AEPD sobre comunicación de brechas de seguridad de los datos personales:

https://www.aepd.es/sites/default/files/2019-09/guia-brechas-seguridad.pdf

INFORMACIÓN A LOS INTERESADOS Y REGISTRO DE ACTIVIDADES DE TRATAMIENTO DE DATOS PERSONALES DE LA UNVIERSIDAD CARLOS III DE MADRID.

El Registro de actividades de tratamiento contiene todos los tratamientos de datos personales que realiza la Universidad. En el Registro se puede consultar toda la información que la universidad debe facilitar a los interesados sobre los tratamientos que realiza.  Más información

Acceso al listado de tratamientos:

Formularios para la declaración de tratamientos: 

¿Quieres colaborar en actividades de investigación y de docencia?.

La Universidad desarrolla numerosas actividades de investigación (proyectos de investigación) y de docencia (Tesis doctorales, TFG, TFM, prácticas) que requieren la participación de personas para, por ejemplo,  la cumplimentación de una encuesta, la realización de una entrevista o de una actividad determinada.

Desde la comunidad universitaria se puede colaborar con estas actividades inscribiéndose en una lista de correo genérica para estos asuntos que permita a la Universidad, ante la necesidad de contar con voluntarios para llevar a cabo una actividad, informar a los integrantes de esa lista para que, si lo desean, puedan colaborar en la actividad de que se trate.

Para ello, la Universidad ha creado la lista de suscripción voluntaria denominada “colaboración en actividades investigación/docencia”  a la que se puede acceder para inscribirse en la siguiente dirección de la página web de la Univerisidad: https://listas.uc3m.es

Si deseas colaborar en el desarrollo de estas actividades puedes suscribirte en la lista para recibir información mediante comunicaciones por correo electrónico.

Información sobre recepcion de newsletter en cuentas corporativas

Tanto los empleados como los estudiantes forman parte de la comunidad universitaria, resultando de ello una serie de derechos y obligaciones.

Para el ejercicio de unos y el cumplimiento de los otros, la Universidad pone a disposición de cada miembro de la comunidad universitaria una cuenta institucional de correo electrónico.

Por ello, los envíos de comunicaciones de carácter informativo para la comunidad universitaria 
relativos a actividades universitarias se envían a la cuenta corporativa de los miembros de la comunidad universitaria, y su recepción en dicha cuenta no es optativa.

No obstante lo anterior, si el titular de la cuenta corporativa no desea recibir los indicados correos, 
se informa que se pueden establecer filtros en Google para tratar de forma diferenciada los mensajes institucionales. 
Más información en https://support.google.com/mail/answer/6579?hl=en . 
De este modo el usuario dispone del control para decidir qué hacer con los mensajes y cambiar su tratamiento de forma autónoma.

Para terminar se quiere poner de manifiesto que, en una situación relacionada con el envío de newsletter a las direcciones de correo institucionales de la Universidad,  ya se ha pronunciado la Agencia Española de Protección de Datos, mediante una Resolución (que puede consultarse en el siguiente enlace: https://www.aepd.es/resoluciones/TD-01231-2018_ORI.pdf), que dispone que “no se puede solicitar que la información que le llega a cada uno sea “a la carta”, lo que sería como pedir un filtro personalizado a un correo institucional, medida desproporcionada y carente de sentido”.

Esperando que esta información haya resultado de utilidad.


 

Delegado de Protección de Datos

El Reglamento establece que los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.

Puede contactar con el Delegado de Protección de Datos a través de correo electrónico en la dirección dpd@uc3m.es