- #55. Para darme de alta en la aplicación, ¿tiene que ser siempre con mi UVUS y clave personal o puede ser con un UVUS institucional?
Puede darse de alta con cualquiera de los dos, siempre que utilice para entrar el mismo con el que se haya dado de alta en la aplicación la primera vez.
Preguntas Frecuentes de Aplicación de cumplimiento LOPDyENS
Aplicación de cumplimiento LOPDyENS
- #56. ¿Por qué existen dos tipos de responsable tecnológico? ¿Qué papel juega cada uno?
El/los Responsable/s Tecnológico/s es/son:
El/los Máximo/s Responsable/s de la/s Unidad/es (o persona en quien delegue) donde se ubican los servidores que contienen las aplicaciones y ficheros relativos a los tratamientos. Se encargará/n del establecimiento desde el punto de vista tecnológico y mantenimiento de las medidas técnicas y organizativas que garanticen el cumplimiento de la normativa, en el tratamiento correspondiente.
Pueden existir dos tipos de RT en función de cómo hayan de incluirse las medidas de seguridad técnicas:
Responsable Tecnológico del Aplicativo: es la persona que gestión la aplicación en la que se tratan los datos. En algunas ocasiones las aplicaciones se gestionan en el SIC, siendo éste el responsable tecnológico de los aplicativos.
Responsable Tecnológico de la Infraestructura: es la persona responsable de los servidores que albergan las aplicaciones, y de las infraestructuras en la que se alojan dichos servidores. Si estos están en el CPD principal de la Universidad, las medidas (o una parte de ellas cuando los servidores se alojen en la modalidad de Infraestructura como Servicio) serán responsabilidad del SIC.
- #57. El significado de corresponsable en un tratamiento
Según el art. 26 del RGPD hay corresponsabilidad cuando:
Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
- #58. Las peticiones relacionadas con medidas de seguridad en la aplicación, ¿de quién es la responsabilidad de cumplimentarlas?
Del Responsable Tecnológico, siguiendo las indicaciones de las medidas organizativas que le indique el RD. También puede desempeñarlas por delegación del RD, si así lo cree conveniente y la persona que se encarga de ello tiene los suficientes conocimientos informáticos, el Gestor o cualquier persona en quien delegue el primero.
El contenido de este apartado debe ser realizado por el RT en coordinación con el RD en función del tipo de tratamiento y de las aplicaciones que se utilicen. Otra cosa es quien debe rellenarlo, puede ser tanto el RT como el gestor, pero la responsabilidad del contenido es del RT.
- #59. ¿Cómo se establecen las medidas de seguridad para garantizar la integridad y confidencialidad de los datos?
La confidencialidad se consigue mediante privilegios de acceso a la información. Solo las personas autorizadas podrán acceder a los datos. Cuando la información está en tránsito las conexiones deben ser seguras, utilizando canales de comunicación cifrados que impidan que un tercero pueda acceder a ella (por ejemplo, mediante el uso de https en la navegación cuando hay datos confidenciales.)
La integridad es la propiedad de la información que garantiza que esta no ha sido modificada desde el origen al destino.
La integridad debe preservarse no solamente en la transmisión (de origen al destino) sino en el almacenamiento.
Para prevenir ataques activos que produzcan alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte hay que aplicar distintas medidas de seguridad: proteger accesos, actualizar software, eliminar vulnerabilidades, instalar sistemas de protección específicos.
Para el tema de la integridad de la información en el almacenamiento se recomiendan medidas como los verificadores de integridad y los File Integrity Monitoring (FIM) y en la transmisión la integridad se conserva mediante el uso de protocolos seguros que la tengan en cuenta.
- #60. ¿A quién corresponde establecer las medidas de seguridad dentro del servicio dónde se desarrolle el tratamiento y hacerlas cumplir?
Corresponde al Responsable Delegado y al Responsable Tecnológico, coordinadamente.
- #61. ¿Cuáles deben ser las medidas de seguridad a aplicar?
Las establecidas en el art.28.5 del RGPD, y las establecidas en la D.A. 1ª de la LOPDyGDD[1] que han de ajustarse a los dispuesto en el R.D. 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración Electrónica. Las medidas aplicadas deben ser proporcionales al tipo de datos y tratamiento que se les dé a estos.
[1] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- #62. Cuando entro en la aplicación, ¿qué diferencia hay entre “transparencia” y “ejercicio de derechos de los interesados? ¿No es lo mismo?
La Transparencia es uno de los principios básicos y directamente aplicables que es necesario cumplir en todo tratamiento de datos personales. Se trata de la información relativa al tratamiento de los datos personales y a los derechos que asisten al interesado, que toda Unidad/Centro o Servicio debe comunicar a los usuarios/interesados, cuyos datos van a ser objeto de tratamiento.
Ejercicio de derechos de los interesados es el procedimiento establecido por la Unidad/Centro/Servicio de la Universidad, para que aquellos puedan ejercitar los derechos reconocidos en la normativa.
- #63. ¿Cómo se establece un procedimiento para que el interesado pueda acceder, rectificar, suprimir sus datos, e incluso su borrado total o derecho al olvido?
Existe un procedimiento general que puede consultarse en: el menú de protección de datos.
La Unidad/Servicio/Centro deberá establecer un procedimiento propio y visible a los interesados para que puedan ejercitar este derecho. P.E. puede incluir el enlace al procedimiento general.
- #64. ¿En qué casos de los art. 6 al 9 del RGPD, hay que pedir el consentimiento y/o consentimiento informado?
Se debe pedir el consentimiento informado exclusivamente para aquellas actividades de tratamiento que de acuerdo con los artículos citados se legitimen en esta condición. Cada RD ha definido en el tratamiento qué bases de legitimación son las aplicables en cada caso. Será necesario solicitar el consentimiento en aquellas actividades de tratamiento de datos personales que esta condición sea base legitimadora. En la aplicación hay que demostrar que se ha solicitado y cómo el responsable del tratamiento lo guarda.
- #65. ¿Qué considera el RGPD como tratamiento lícito?
La licitud o legitimidad del tratamiento es uno de los principios básicos y directamente aplicable del sistema jurídico de protección de datos europeo. Se encuentra regulado en los artículos 6 y 9 del RGPD donde se señalan una serie de condiciones en que se habrán de basar los tratamientos de datos personales para considerarse legítimos/lícitos.
- #66. ¿Cuál es el plazo legal establecido para conservar y borrar los datos en el caso de la US? ¿Y cuándo se trata de un encargado de tratamiento externo?
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Esta valoración la debe de realizar el RD de conformidad con la legislación aplicable al tratamiento y a los datos personales.
- #67. ¿Cómo se evidencia que los datos han sido borrados?
Mediante certificaciones, procesos de borrado… es competencia del RT/RD
- #68. ¿Quién y cuándo se debe revisar la pertinencia para conservar los datos, cuando ya no son necesarios?
El RD debe analizar el tratamiento y decidir este aspecto, de conformidad con la legislación aplicable.
Para la eliminación de documentos se deben seguir las siguientes pautas:
- Autorizada / Legal
- Apropiada e irreversible
- Segura / confidencial
- En tiempo
- Documentada