En esta sección encontrará por un lado directrices (generales, para todos los miembros de la comunidad universitaria; administrativas; y referidas a la docencia e investigación) y, por otro, las leyendas preparadas por este DPD para ser tomadas como referencia por los distintos servicios de la ULL en su funcionamiento ordinario, debiendo adaptarlas a las circunstancias del servicio.
No realice ningún tratamiento de datos personales si dicho tratamiento no está autorizado e inscrito en el Registro de Actividades de Tratamiento de la ULL, o si usted no pertenece al colectivo o unidad administrativa que conforme a dicha inscripción realiza dicho tratamiento.
Ello no debe impedir el ejercicio de ningún derecho, sino adecuar si ejercicio a los requerimientos de privacidad de la información (p. ej., advertir de la finalidad para la que se da acceso y de la prohibición de cualquier uso distinto del ejercicio de dichos derechos, y guardar prueba de dicha advertencia; o anonimizar según convenga la información que se suministre, dejando constancia para que sea conocida por el receptor, y poder probar la medida adoptada). Las cesiones de información que se realicen han de estar contemplados en la inscripción del RAT correspondiente al tratamiento. Cuide que las tecnologías que utilice no cedan datos a terceros para tratamientos distintos a aquél para el que se recabaron los datos, ni realicen transferencias internacionales de datos no autorizadas (p.ej.: recabar datos en una web ponerle un contador de análisis de tráfico externo; poner unos botones prediseñados para compartir una concreta página en redes sociales, puede ceder datos para marketing al prestador del servicio; o utilizar Google Forms, DropBox, GoogleDrive, WhatsApp, Telegram,… todas ellas redes con servidores extranjeros y sujetas a sus propias políticas de privacidad y uso de los datos, que no tienen por qué coincidir ni ser compatibles con la de la ULL).
Distinga entre privacidad y seguridad. Las modernas redes sociales suelen tener sólidos mecanismos de seguridad frente a terceros, pero ellas mismas utilizan intensivamente los datos personales que les proporcionamos, no son un vehículo adecuado para garantizar la privacidad. Tampoco lo es el correo electrónico (consulte cómo usarlo, en su caso). Si se trata de in procedimiento administrativo, lo más razonable (y exigible legalmente) es implementarlo en la sede electrónica, realizar las notificaciones en sede, y utilizar el portafirmas institucional.
Los datos personales de que dispone la ULL son para cumplir sus funciones de investigación, docencia y estudio, mediante los servicios referidos en el artículo 1 de la Ley Orgánica de Universidades. Usted puede y debe disponer de dichos datos en la medida en la que por su vinculación con la Universidad le corresponda participar en la prestación de dichos servicios, y los datos sean necesarios o provean una utilidad para alcanzar dicho fin. Deberá no obstante limitarse a usarlos para dichos propósitos.
Por ejemplo, la gestión de credenciales ULL, las normas de uso de cada servicio, uso de dispositivos ajenos a la ULL en redes ULL,..
Recabe y utilice la información mínima necesaria (pero toda la pertinente) para la realización del tratamiento, esto es, para desempeñar satisfactoriamente su función.
Para aumentar la aleatoriedad es deseable que contengan números, letras mayúsculas y minúsculas, y algún signo de puntuación. Puede protegerlas con una contraseña maestra y generar claves aleatorias seguras con un programa de gestión de contraseñas. Si opta por anotarlas, hágalo en un lugar alejado del entorno en que se usa, y sin que resulte evidente a un tercero de qué servicio es la contraseña. La contraseña del servicio centralizado de autenticación debe ser única (no usarla en ningún otro servicio, ni interno ni ajeno a la ULL).
Bloquee su equipo cuando se ausente de él, y apáguelo cuando se marche si otra cosa no se le hubiese indicado (por ejemplo para realizar actualizaciones); cierre gavetas y archivadores cuando no se estén utilizando; no nombre carpetas físicas con datos personales, utilice el número de expediente; no deje documentos a la vista, o en impresoras.
No lleve documentos, soportes digitales, ni equipos electrónicos con datos personales fuera de su lugar de trabajo si no está autorizado para ello. La mayor parte de las gestiones pueden realizarse remotamente conectándose a servidores de la ULL, que minimizan los datos personales en los equipos. Los que excepcionalmente copiara de forma temporal, cuide que sean eliminados permanentemente al terminar la sesión.
No tire a la papelera documentos con datos personales, DVDs, lápices USB, ni otros soportes sin proceder previamente a la destrucción bien de la información que contiene, bien del soporte mismo, de modo que no pueda recuperarse la información. Utilice una destructora de documentos/soportes, o un programa de borrado (no basta la opción ordinaria de borrar archivo).
En caso de duda, consulte al Delegado de Protección de Datos.
Cuando un interesado en un expediente administrativo solicite copia de éste, en ejercicio de su derecho contenido en el artículo 53 LPA, y se constate que contiene datos personales, debe realizarse la ponderación que se indica en el informe de este DPD 57/2018, a fin de valorar si procede conceder inicialmente derecho de acceso y, a la vista de la documentación, indique los concretos documentos que interesa, y a qué fin. En cualquier caso, la entrega de cualesquiera documentación con datos personales se hará previa firma de acta en la que se acredite informar al interesado de la naturaleza reservada de la información. Se recomienda además poner sello en la documentación que indique «confidencial». El texto que deberá firmar y conservarse en el expediente debe realizarse con base al siguiente modelo:
«El interesado queda advertido de que la información que se le facilita lo es con carácter reservado y a los solos efectos de permitirle el ejercicio de sus derechos en el marco del procedimiento en el que éstos se facilitan; así como que dicha información incluye datos de carácter personal, que deben ser tratados con el celo exigido a estos, principalmente en el Reglamento General de Protección de Datos, y en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Por ello queda obligado a custodiarlo con el debido celo, a establecer medidas de garantías suficientes para impedir el acceso por terceras personas, y a destruir los soportes de dicha información o a devolverlos a esta Administración por el mismo cauce cuando deje de ser útil al propósito al que se le han entregado, esto es, para el ejercicio de sus derechos en el marco de este procedimiento. Cualesquiera otro uso, o una custodia deficiente, podrá dar lugar a responsabilidad penal, administrativa y/o patrimonial».
Si se hubiera limitado la información a la que se considera debe acceder, se añadirá:
«Se le informa que se ha enmendado la documentación que se le entrega [si fuese el caso], tachando datos irrelevantes para el ejercicio de sus derechos, en los términos que ha interesado. Igualmente se han omitido los folios [indicar], ya que contienen [describir], información esta irrelevante para los fines manifestados por el interesado en su solicitud de acceso».
Estos textos deberán ser adaptados por el servicio administrativo correspondiente.
El DNI recibe un tratamiento especial en la Disposición Adicional 7ª de la LOPDGDD. La Agencia Española de Protección de Datos ha efectuado unas recomendaciones sobre su aplicación. Teniendo en cuenta todo ello, resulta:
=EXTRAEB(A1;10;4)
=EXTRAEB(A1;ALEATORIO.ENTRE(1;5);4)
No olvide que debe guardar los datos y realizar búsquedas en ellos para no generar distintos códigos para la misma persona, que faciliten recomponer su DNI. La solución de la AEPD es temporal, por lo que en revisión de que el legislador no modifique ni aclare la regla de la D.A. 7ª, se recomienda renovar aquellos datos almacenados que tuvieran cuatro años de antigüedad.
Todas las publicaciones que formen parte de un expediente administrativo (y las calificaciones de los alumnos lo son, forman parte de un expediente que culmina con la obtención, en su caso, de un título, de grado, máster, doctor,…) han de ser realizadas en forma electrónica (art. 70.1 L. 39/2015). Por otro lado, todas la notificaciones al alumnado se han de realizar en forma electrónica (art. 28. 1 del Reglamento por el que se regula la administración electrónica en la Universidad de La Laguna), y las notas en particular se publican para garantizar, entre otras cosas, la transparencia y calidad de la actividad docente. Esta plataforma permite la publicación de las calificaciones finales, mientras que para las de las pruebas parciales es necesario utilizar un medio de publicación que llegue a todos los alumnos. En tanto no se habilite un tablón de anuncios a dichos efectos o se adecúe el portal para publicaciones de calificaciones intermedias (no limitadas a actas finales), es recomendable realizar la publicación en el Campus Virtual, generando un pdf con el listado que, para cumplir con los requisitos de un documento administrativo, debe antes de ser publicado ser firmado utilizando el portafirmas institucional (sólo accesible desde la red ULL, o conectándose a ella por VPN). Cuando como en este supuesto se cuelgue un único documento de los distintos tipos que nos ofrece el portafirmas institucional, deberá generar y descargar el que se llama «copia PAdES».
Para más información sobre publicación de calificaciones puede consultar este informe.
La mera recepción de este mensaje, sujeto a la política de privacidad de la ULL en el uso del correo electrónico, no significa que usted tenga derecho a reutilizar ni hacer público la información que contiene.
Leyenda recomendada:
Puede ejercitar sus derechos a acceder, rectificar y suprimir sus datos, de limitación, portabilidad u oposición en la sede electrónica de la ULL. Para más información puede consultar el Registro de Actividades de Tratamiento. En su ejercicio puede solicitar la asistencia del Delegado de Protección de Datos. En caso de no ver atendido su derecho puede presentar una reclamación ante la Agencia Española de Protección de Datos.
Leyenda para soportes no electrónicos:
Puede ejercitar sus derechos a acceder, rectificar y suprimir sus datos, de limitación, portabilidad u oposición en la sede electrónica de la ULL. Para más información puede consultar el Registro de Actividades de Tratamiento disponible en el portal web de la ULL. En su ejercicio puede solicitar la asistencia del Delegado de Protección de Datos, dpd@ull.es. T.: 900 43 25 26 ext. 4017. En caso de no ver atendido su derecho puede presentar una reclamación ante la Agencia Española de Protección de Datos.
Texto breve, si hubiera problemas de espacio:
Tiene derecho a acceder, rectificar y suprimir sus datos, entre otros derechos que se refieren aquí. Para más información puede consultar el Registro de Actividades de Tratamiento.
Fuente: Guía normativa sobre contratación de personal. GN-001-19 . Vers. 1.1 – 20180318.