Normativa
Resolución
de 6 de junio de 2002, de la Universidad de Zaragoza, por la que se aprueba
la normativa propia en materia de protección de datos de carácter
personal
|
|
|
Normativa |
|
| Resolución
de 6 de junio de 2002, de la Universidad de Zaragoza, por la que se aprueba
la normativa propia en materia de protección de datos de carácter
personal |
|||
| Nota: la Universidad de Zaragoza ha publicado (15/06/03) unas páginas institucionales sobre protección de datos donde se contiene (en un formato técnicamente mejor que el mío) la normativa propia y otras informaciones adicionales Título I. Recogida de datos de carácter personal Artículo 1. Modo de recabar los datos La recogida de los datos de carácter personal en la Universidad de Zaragoza, se realizará para fines determinados, explícitos y legítimos, no pudiendo recogerse por medios fraudulentos, desleales o ilícitos. Artículo 2. Calidad de los datos Los datos recabados deben ser adecuados, pertinentes y no excesivos en relación con la finalidad para la cual hayan sido recabados. Los datos recabados en la Universidad deberán servir a fines directamente relacionados con sus competencias y funciones. Artículo 3. Información sobre el tratamiento Los formularios de recogida de datos deberán incluir la siguiente información: (a) La existencia de un fichero automatizado con datos de carácter personal, la finalidad de la recogida de éstos y los destinatarios de la información. (b) El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean planteadas. (c) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. (d) La posibilidad de ejercitar los derechos de acceso, rectificación y cancelación. (e) La identidad y dirección del responsable del tratamiento o su representante. Si bien la LO 15/1999 de Protección de Carácter Personal establece que no será necesaria la información de los apartados b), c) y d) anteriores si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban, la Universidad de Zaragoza informará siempre a los interesados de la posibilidad de ejercitar los derechos de acceso, rectificación o cancelación y del órgano ante el que se ejercitan tales derechos, tal y como se regulan en el Título II de esta normativa. Si los datos se recaban de un tercero, el interesado deberá ser informado dentro de los tres meses siguientes a la recogida de los datos, de forma expresa, precisa e inequívoca, del contenido y finalidad del tratamiento, de la procedencia de los datos, de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección del responsable del tratamiento. Con el fin de acreditar en todo momento que el interesado fue debidamente informado de los extremos antes mencionados, la firma del interesado debe quedar reflejada en el impreso que contenga la nota informativa. Se adjunta como Anexo II texto informativo que debe ser insertado en todos los formularios de recogida de datos (salvo que el interesado ya haya sido informado con carácter previo) incluida la página web de automatrícula, todo ello sin perjuicio de lo establecido en el Artículo 5.5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Deberá incluirse la nota informativa en impresos de matrícula académica de cualquier tipo, impresos de inscripción en servicios, contratos laborales o administrativos, pliegos de concursos para la provisión de plazas, recogida de datos de terceros, impresos para el reconocimiento de salud y cualquier otro formulario que suponga recabar datos de cuyo tratamiento no haya sido informado previamente el interesado.
Artículo 4. Consentimiento para el tratamiento El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado. No será preciso el consentimiento para el tratamiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del Artículo 7, apartado 6, de la LO 15/1999 de Protección da Datos de Carácter Personal, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. En los casos en los que no sea necesario el consentimiento del interesado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. Por lo que respecta a los datos de carácter personal relativos a la salud, éstos sólo podrán ser recabados y tratados automatizadamente cuando por razones de interés general así lo disponga una Ley, el interesado consienta expresamente, o bien cuando su obtención y tratamiento se realice para el correcto cumplimiento de la función de la Universidad de Zaragoza como Empresa Colaboradora en el sistema de la Seguridad Social. Los profesionales de la Universidad de Zaragoza directamente relacionados con la salud de los trabajadores podrán tratar automatizadamente los datos de carácter personal relativos a la salud de las personas que a ellos acudan, de acuerdo con lo dispuesto en la normativa vigente en materia de sanidad y de protección de la salud y prevención de riesgos laborales. El tratamiento de datos relativos a ideología, religión, creencias y afiliación sindical, requiere consentimiento expreso y por escrito del interesado. Los datos de carácter personal que se refieran a la vida sexual, salud u origen racial de las personas sólo serán recabados, tratados y cedidos cuando por razones de interés público así lo establezca una ley o el interesado consienta expresamente. En el caso en que se recabasen datos relativos a la ideología, religión o creencias del interesado, éste será advertido de su derecho a no consentir el tratamiento de tales datos. Se adjunta como Anexo III fórmula de autorización para el tratamiento de los datos. Artículo 5. Usos y finalidades del tratamiento Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos fueron recogidos. No se considerará incompatible el tratamiento posterior de los datos para fines históricos, estadísticos o científicos. Tal y como se establece en el Artículo 3 anterior, el interesado deberá ser informado de la finalidad determinada, explícita y legítima del tratamiento. Artículo 6. Conservación y cancelación de datos Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, tal y como se define en el Título II de estas normativa, salvo que sean cancelados de acuerdo con lo previsto en la Ley. Los plazos de conservación dependerán de la vinculación existente entre la Universidad de Zaragoza y el interesado, siendo conservados, con carácter general, mientras subsista la relación y una vez concluida como máximo, por los plazos siguientes: (a) Cinco años para los datos de clientes, proveedores o suministradores. (b) Permanentemente para los datos de estudiantes, empleados o ex-empleados. Si los datos registrados resultaran inexactos, en todo o en parte, o incompletos, serán cancelados o sustituidos por los correspondientes datos rectificados o completados. La cancelación de los datos se realizará de oficio por el Encargado Interno del Tratamiento, de acuerdo con lo dispuesto en el Anexo I, apartado II, al finalizar el plazo de conservación, o a instancia del interesado en ejercicio de su derecho de cancelación de acuerdo con el procedimiento establecido en el Título II de esta normativa. No procederá la cancelación de los datos cuando ello pudiese causar un perjuicio a intereses legítimos del interesado o de terceros, cuando existiese obligación legal de conservarlos, cuando exista una relación contractual, cuando sea preciso su mantenimiento para gestiones de pagos o cobros o para el adecuado ejercicio de las funciones propias de la Universidad de Zaragoza. Artículo 7. Redacción y fórmulas de información y de autorización La redacción de las fórmulas informativas y de autorización relativas al tratamiento de datos de carácter personal corresponde al Gabinete Jurídico de la Universidad de Zaragoza. Con carácter previo al envío anual de los formularios a imprenta, éstos deberán ser sometidos a la revisión del Gabinete Jurídico a los efectos de comprobar la adecuación a derecho de las fórmulas de información y autorización que éstos contengan.
Título II. Derechos de los interesados Artículo 8. Requisitos generales. 8.1. Capacidad. Los derechos de acceso, rectificación y cancelación de datos son personalísimos y serán ejercidos únicamente por el interesado, por lo que para su ejercicio será necesario que el interesado acredite su identidad. Por esta razón no serán atendidas las solicitudes de ejercicio de estos derechos que se efectúen a través de tercero, o por el propio interesado por teléfono, correo electrónico o cualquier otro medio que no permita acreditar la identidad del interesado. El
interesado podrá actuar a través del representante legal cuando
aquel se encuentre en situación de incapacidad o minoría
de edad que le imposibilite el ejercicio personal de los mismos, en cuyo
caso será necesario que el representante legal acredite tal condición.
Sin perjuicio de lo anterior, los derechos antes mencionados podrán
(a) Documento de apoderamiento original que derive directa e inequívocamente del interesado, titular del derecho, con la firma de éste último autenticada a través de medio autorizado en Derecho. (b) Escritura pública de apoderamiento autorizada por un Notario Público. 8.2. Solicitudes. Conforme a lo establecido en la Resolución de fecha 16 de julio de 2001 que regula los Ficheros de Carácter Personal de la Universidad de Zaragoza, publicados en el BOA de 13 de agosto de 2001, los derechos de acceso, rectificación y cancelación se ejercerán mediante escrito dirigido al Ilmo. Sr. Gerente de la Universidad de Zaragoza, a través del Registro General de la Universidad o por cualesquiera de los medios previstos en el Artículo 38.4 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. El ejercicio de los derechos deberá llevarse a cabo mediante solicitud por escrito dirigida al responsable del fichero, que contendrá: (a) Nombre, apellidos del interesado y fotocopia del documento nacional de identidad del interesado y, en los casos que se admita, de la persona que lo represente, así como el documento acreditativo de tal representación. La fotocopia del documento nacional de identidad podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a Derecho. (b) Petición en que se concreta la solicitud. (c) Sistema de consulta del fichero elegido. (d) Domicilio a efectos de notificaciones, fecha y firma del solicitante. (e) Documentos acreditativos de la petición que formula, en su caso. La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada. El interesado deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud. 8.3. Contestación. La solicitud será contestada con independencia de que figuren o no datos personales del interesado en los ficheros de acuerdo con lo dispuesto a continuación, mediante notificación administrativa. Artículo 9. Derecho de acceso 9.1. Acceso a los datos. El interesado tiene derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros de la Universidad de Zaragoza. El interesado podrá ejercitar su acceso en intervalos no inferiores a doce meses, salvo que acreditase un interés legítimo. 9.2. Sistemas de consulta. Al ejercitar el derecho de acceso, el interesado podrá optar, al formular su solicitud, por uno o varios de los siguientes sistemas de consulta del fichero, siempre que la configuración o implantación material del fichero lo permita: (a) Visualización en pantalla. (b) Escrito, copia o fotocopia remitida por correo. (c) Telecopia. (d) Cualquier otro procedimiento que sea adecuado a la configuración o implantación material del fichero, ofrecido por el responsable del mismo. No obstante, la Universidad de Zaragoza podrá determinar el sistema de consulta cuando el solicitado por el interesado perturbe la normal prestación de los servicios de la Universidad de Zaragoza. Deberá dejarse siempre constancia del ejercicio del derecho de acceso por parte del interesado. En el caso de las visualizaciones en pantalla, se guardará impresión de las pantallas consultadas firmadas por el interesado. Las comunicaciones deberán ser remitidas mediante notificación administrativa. 9.3. Plazo de contestación. La solicitud de acceso se resolverá en el plazo máximo de un mes a contar desde la recepción de la solicitud. No obstante lo anterior, en el caso de que la solicitud de acceso no cumpla con los requisitos mencionados en el Artículo 8 anterior, el Gerente comunicará al interesado el defecto en su solicitud dentro del plazo de 10 días desde su recepción. En el caso de que el interesado subsanase los defectos de la solicitud, el plazo de un mes para contestar al derecho de acceso comenzará a partir del momento de la recepción de la solicitud conforme a los requisitos establecidos en el Artículo 8 y así le será comunicado al interesado. 9.4. Ausencia de datos. En el caso de que no se disponga de datos de carácter personal de los interesados, tal circunstancia será comunicada al interesado en el plazo de un mes. 9.5. Contenido de la notificación. La información que la Universidad de Zaragoza proporcione al interesado, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso, y comprenderá todos los datos de base del interesado que sean accesibles, los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos. En el caso de que los datos provengan de fuentes diversas, deberán especificarse las mismas identificando la información que proviene de cada una de ellas. Se adjunta como Anexo IV modelo de contestación al ejercicio del derecho de acceso.
Artículo 10. Derechos de rectificación y cancelación 10.1. Rectificación y cancelación de datos. Cuando el acceso a los ficheros revelare que los datos del interesado son inexactos o incompletos, inadecuados o excesivos, éste podrá solicitar la rectificación o, en su caso si procede, la cancelación de los mismos. 10.2. Plazo para contestar. Los derechos de rectificación y cancelación se harán efectivos dentro de los diez (10) días siguientes al de la recepción de la solicitud. Si los datos rectificados o cancelados hubieran sido cedidos previamente, se deberá notificar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, a su vez, la lleve a cabo en su fichero. No obstante lo anterior, en el caso de que la solicitud de cancelación o rectificación no cumpla con los requisitos mencionados en el Artículo 8 anterior, el Gerente comunicará al interesado el defecto en su solicitud dentro del plazo de siete (7) días desde su recepción. En el caso de que el interesado subsanase los defectos de la solicitud, el plazo de diez (10) para contestar al derecho rectificación o cancelación comenzará a partir del momento de la recepción de la solicitud conforme a los requisitos establecidos en el Artículo 8 y así le será comunicado al interesado. 10.3. Excepciones particulares a la cancelación. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del interesado o de terceros o cuando existiese una obligación legal de conservar los datos, cuando exista una relación contractual, cuando deban gestionarse pagos y cobros, o cuando su mantenimiento sea preciso para el adecuado cumplimiento de los fines de la Universidad de Zaragoza. Tampoco procederá el derecho de rectificación o cancelación si el dato coincide con el obrante en un expediente administrativo. Para proceder a la rectificación o cancelación será necesaria la previa revisión del expediente por los medios legalmente establecidos, y si resultasen modificados, se podrá considerar la rectificación o cancelación de los datos de los ficheros informatizados. 10.4. Notificación al interesado. Si se considera procedente la cancelación o rectificación solicitada se comunicará al interesado que se ha procedido a cancelar o rectificar los datos solicitados en la forma establecida en el Artículo 11 siguiente. Se adjunta como Anexo V modelo de contestación al ejercicio de los derechos de rectificación y cancelación de datos. 10.5. Borrado de los datos. En
los casos en que, siendo procedente la cancelación de los datos,
no sea posible su extinción física, tanto por razones técnicas
como por causa del procedimiento o soporte utilizado, el responsable del
fichero procederá al bloqueo de los datos, con el fin de impedir
su ulterior proceso o utilización. Se exceptúa, no obstante, el
supuesto Artículo 11. Tramitación de las solicitudes 11.1. Procedimiento interno de tramitación. El Gerente valorará en el plazo de 2 días desde la recepción de la solicitud el cumplimiento de los requisitos generales de capacidad del interesado y adecuación de la solicitud. En el caso de que el Gerente considerase que la solicitud no cumple con los requisitos generales establecidos en el Artículo 8, previa consulta al Gabinete Jurídico, lo notificará al interesado dentro del plazo máximo de diez (10) días desde la recepción de la solicitud en el caso de accesos y dentro del plazo máximo de siete (7) días en el caso de cancelación o rectificación, para que el interesado, en su caso, subsane los defectos o adjunte los documentos preceptivos interponiendo nueva solicitud en el plazo de diez (10) días. Si los defectos no fuesen subsanados en el plazo de 10 días, la solicitud de acceso, rectificación o cancelación se tendrá por caducada. Si la solicitud reuniese los requisitos formales indicados, se procederá de la siguiente manera: El Gerente remitirá la solicitud al o los Responsables Internos del Tratamiento correspondientes de acuerdo con lo dispuesto en el Anexo I apartado II, en el plazo máximo de dos días desde la recepción de la solicitud en forma. (a) En el caso del derecho de acceso, el Responsable Interno del Tratamiento correspondiente, recabará en el plazo máximo de diez (10) días la información solicitada a través de los Encargados Internos del Tratamiento de las distintas unidades y preparará un escrito conforme al modelo que se adjunta como Anexo IV a esta normativa, que será firmado por el Ilmo. Sr. Gerente y remitido al interesado dentro del plazo máximo de un (1) mes desde la recepción de la solicitud en Registro General, mediante notificación administrativa. (b) En el caso de los derechos de rectificación y cancelación el Responsable Interno del Tratamiento correspondiente recabará la información necesaria de los Encargados Internos del Tratamiento y entregará al Gerente en el plazo máximo de siete (7) días desde la recepción de la solicitud, la propuesta de resolución de la solicitud. En caso de duda sobre la procedencia de la rectificación o cancelación se consultará al Gabinete Jurídico. El Responsable Interno del Tratamiento ordenará a los Encargados Internos del Tratamiento que se refleje la mencionada rectificación o cancelación. El Gerente notificará la resolución al interesado dentro del plazo máximo de diez (10) días desde la solicitud de rectificación o cancelación, mediante notificación administrativa. El Gerente mantendrá un Registro de accesos, rectificaciones y cancelaciones, integrado en el Registro de Incidencias de la Universidad de Zaragoza, tal y como se define en el Anexo I. 11.2. Rechazo de la solicitud. Se rechazará la solicitud en los siguientes casos: (a) Cuando la solicitud sea presentada por una persona jurídica. (b) Cuando el solicitante sea una persona distinta del interesado o de su representante, de acuerdo con lo dispuesto en el apartado 8.1. (c) Cuando se haya ejercitado el derecho de acceso en los últimos doce meses, salvo que se acredite un interés legítimo. (d) En el caso del derecho de rectificación cuando no se indique el dato que es erróneo y la corrección que debe realizarse. (e) Cuando se trate de solicitudes genéricas. Si solicitado el acceso, la rectificación o cancelación, se considera que no procede acceder la solicitud del interesado, así se le comunicará de forma motivada, dentro del plazo un mes para el acceso o diez días para la rectificación o cancelación a contar desde la recepción de la solicitud en Registro General de la Universidad, con arreglo al Artículo 9.3 y 10.2 de esta normativa. La resolución será adoptada por el Gerente de la Universidad de Zaragoza y se comunicará al interesado remitiéndose al domicilio que éste hubiere señalado al efecto, mediante notificación administrativa. 11.3. Gabinete Jurídico. Corresponderá al Gabinete Jurídico el asesoramiento al Responsable del Fichero sobre la homogeneización y fijación de los criterios aplicables en la atención a los derechos del interesado. A tal efecto, dentro de los diez (10) días siguientes a la recepción en Registro General de la solicitud de acceso y dentro de los cinco (5) días siguientes a la recepción de la solicitud de rectificación o cancelación, el Gerente o el Responsable Interno del Tratamiento remitirán al Gabinete Jurídico, junto con la documentación necesaria, aquellas solicitudes de acceso, rectificación o cancelación que por sus características particulares o por las cuestiones en ellos planteadas se considere que deben ser objeto de análisis jurídico específico. El Gabinete Jurídico recabará los informes que estime oportunos, e informará al Gerente y al Responsable Interno de Tratamiento del fichero realizando una propuesta de resolución en el plazo más breve posible, y en cualquier caso dentro del plazo de un mes desde la recepción de la solicitud.
Título III. Régimen de la cesión de datos Artículo 12. El consentimiento y sus excepciones 12.1. Consentimiento del interesado. Los datos objeto de tratamiento sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con la actividad legítima del cedente y del cesionario. La cesión de datos requiere del consentimiento inequívoco del interesado, salvo en los supuestos previstos en el Artículo 12.2 siguiente. 12.2. Excepciones a la obtención del consentimiento. No será necesario recabar el consentimiento en los siguientes casos: (a) Cuando la cesión esté autorizada por ley. (b) Cuando se trate de datos recogidos de fuentes accesibles al público tal y como se definen en el Anexo I. Sin embargo, de acuerdo con el Artículo 21 de la LO 15/1999 de Protección de Datos de Carácter Personal, la Universidad de Zaragoza no podrá ceder datos obtenidos de fuentes de acceso público a ficheros de titularidad privada salvo previo consentimiento del interesado. (c)Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento a ficheros de terceros. (d) Cuando la comunicación tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal, o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Vale lo dicho en el caso de organismos autonómicos equivalentes. (e) Cuando la cesión se realice entre administraciones públicas y tenga como objeto el tratamiento de los datos con fines históricos, científicos o estadísticos. (f) Cuando la cesión de datos de salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación estatal o autonómica sobre la materia. (g) Si la cesión se realiza previo procedimiento de disociación de datos. (h) La comunicación de datos entre administraciones públicas para el ejercicio de competencias que versen sobre la misma materia. (i) Las cesiones que impliquen el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio a la Universidad de Zaragoza, de acuerdo con lo establecido en el Artículo 12 de LO 15/1999 de Protección de Datos de Carácter Personal. Artículo 13. Fórmula para recabar el consentimiento Para que el consentimiento sea válido a efectos de cesión de datos, el interesado debe contar con la siguiente información: (a) Tipo de datos objeto de cesión. (b) Finalidad de la cesión. (c) Actividad de las entidades cesionarias. En
el caso de las automatrículas, la fórmula de autorización
de cesión de datos de estudiantes a empresas u organismos públicos,
no será efectiva en tanto el estudiante no confirme su consentimiento
mediante firma ante el administrador del centro o en tanto no existan
procedimientos técnicos adecuados que permitan garantizar el El
consentimiento para la cesión de datos tendrá carácter
revocable por lo que, en caso de producirse, deberá comunicarse
de inmediato la revocación a las empresas cesionarias instándoles
a que cesen en el Se adjuntan como Anexo VI a estas instrucciones modelo de fórmula de autorización de la cesión de datos. Artículo 14. Tipología de cesiones En función de la necesidad de recabar consentimiento del interesado y del procedimiento para recabarlo, las cesiones pueden distinguirse en: (a) Cesiones de datos de carácter personal que requieren del consentimiento del interesado: Con carácter general todas las cesiones de datos de carácter personal requerirán previo consentimiento del interesado, salvo en los supuestos previstos en el Artículo 12.2 de esta normativa, de acuerdo con lo establecido en los Artículos 11, 12 y 21 de la LO15/1999 de Protección de Datos de Carácter Personal. En estos supuestos la Universidad deberá recabar el consentimiento de los interesados mediante las fórmulas de autorización correspondientes y a través del procedimiento establecido en el Artículo 15 siguiente. Se adjunta como Anexo VII las cláusulas que deben ser asumidas en todo caso por los cesionarios de datos cuando se realicen cesiones de datos que requieran consentimiento del interesado (en adelante la «Carta de Condiciones»). (b) Cesiones de datos que no requieren previo consentimiento del interesado: No requerirán previo consentimiento del interesado las cesiones realizadas bajo los supuestos previstos en el Artículo 12.2 de esta normativa, de acuerdo con lo establecido en los Artículos 11, 12 y 21 de la LO15/1999 de Protección de Datos de Carácter Personal. En tales supuestos la Universidad efectuará las cesiones de acuerdo con los procedimientos establecidos en los Artículos 15.2, 16 y 17 de esta normativa. Artículo 15. Procedimiento de cesión de datos 15.1.
Cesiones de datos que requieran del consentimiento del interesado Los solicitantes remitirán la solicitud al Ilmo. Sr. Gerente de la Universidad, que valorará la oportunidad de la cesión así como su legalidad, asesorada, en su caso, por el Gabinete Jurídico. En caso de apreciarse la oportunidad de la cesión el proceso se pondrá en manos del Responsable Interno del Tratamiento afectado. El Responsable Interno del Tratamiento remitirá la Carta de Condiciones para que ésta sea firmada mediante «recibí y conforme» por la empresa u organismo que solicita los datos. Una vez firmada y recibida en la Universidad la Carta de Condiciones, el Responsable Interno del Tratamiento solicitará al Responsable de Seguridad del Fichero, los datos objeto de cesión. El
Responsable de Seguridad del Fichero comprobará la autorización
prestada por los interesados y remitirá el listado correspondiente
al Responsable Interno del Tratamiento que lo hubiese solicitado. El Responsable
de Seguridad llevará a cabo un sistema de marcado en las fichas
personales generadas al efecto, donde consten en cada momento El Responsable Interno del Tratamiento comunicará los datos a las empresas cesionarias enviándolo por Registro General, confirmará al Responsable de Seguridad el envío y mantendrá un archivo físico con las Cartas de Condiciones firmadas por las entidades cesionarias así como copia de la información remitida. Las cesiones realizadas serán reflejadas en el Registro de Incidencias de la Universidad de Zaragoza. Tan sólo se cederán datos de carácter personal que requieran del consentimiento del interesado, mediante el procedimiento aquí establecido, cualquier cesión de datos que no cumpla con este procedimiento será responsabilidad exclusiva de quien lo lleve a cabo frente a terceros y frente a la propia Universidad de Zaragoza. Asimismo, en el caso de que la cesión de datos, que provengan de un fichero con nivel de seguridad medio o alto, se efectúe mediante la entrega de soportes informáticos, ésta deberá ser autorizada por el Responsable Seguridad del fichero, y será anotada en el Registro de Incidencias de la Universidad de Zaragoza. 15.2.
Cesiones de datos que no requieren consentimiento del interesado (a) La cesión realizada a organismos judiciales y administrativos, de conformidad con las diferentes leyes aplicables, en el ejercicio de las funciones que tienen atribuidas y en los supuestos y condiciones establecidos en las citadas normas, de acuerdo con lo establecido en el Artículo 17. (b)
La cesión de datos personales de empleados realizada a los representantes
sindicales en cumplimiento de la Ley Orgánica 11/1985, de 2 de
agosto, de Libertad Sindical, y de la Ley 2/1991 de 7 de Enero, sobre
derecho de información de los representantes de los trabajadores
en materia de contratación o normativa vigente en cada (c) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado, o para realizar los estudios epidemiológicos en los términos establecidos en la Ley 14/1986, de 25 de Abril, General de Sanidad, disposiciones complementarias, en la Ley 31/1995 de Prevención de Riesgos Laborales y en la normativa vigente en cada momento. (d) Cuando la cesión se efectúe previo procedimiento de disociación, es decir, de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable. Sin perjuicio de lo anterior, y dada su especialidad, las cesiones de datos para la prestación de servicios de acuerdo con lo dispuesto en el Artículo 12 de la LO15/1999 de Protección de Datos de Carácter Personal, seguirán la tramitación prevista en el Artículo 16 a continuación. Artículo 16. Procedimiento de cesión de datos para la prestación de servicios El acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio a la Universidad de Zaragoza no requerirá previo consentimiento del interesado. La revelación de datos en estos supuestos requieren la celebración de un contrato entre el titular del fichero y el prestador del servicio en el que se acuerde la confidencialidad de la información, la finalidad exclusiva de tratamiento de datos para la prestación del servicio, la obligación de destrucción de los datos y devolución de los soportes una vez prestado el servicio, la declaración del cesionario de cumplir con las medidas de seguridad exigidas por la ley, así como la prohibición de cesión sucesiva salvo autorización expresa del cedente, todo ello de acuerdo con lo establecido en el Artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La cesión de datos para la prestación de servicios deberá ser previamente autorizada por el Gerente de la Universidad. Cualquier cesión de estas características, realizada por una unidad sin autorización previa del Gerente, será responsabilidad exclusiva de quien realice la cesión, frente a terceros y frente a la Universidad. La realización de estas cesiones deberá ser reflejada en el Registro de Incidencias de la Universidad de Zaragoza. El Gerente guardará los originales de los contratos de cesión para prestación de servicios firmados por él mismo en representación de la Universidad. Se adjunta como Anexo VIII modelo de contrato de prestación de servicios.
Artículo 17. Cesiones de datos a autoridades judiciales y administrativas especiales La información sobre datos de carácter personal obrantes en ficheros de la Universidad de Zaragoza que puede afectar a estudiantes, personal o terceros, será comunicada a autoridades judiciales y administrativas, con sujeción al procedimiento legalmente establecido y a las reglas que se exponen a continuación. No se atenderán peticiones de información sobre datos de carácter personal no motivadas. Las informaciones solicitadas por órganos gubernativos directamente relacionados con actuaciones preparatorias o complementarias de procesos judiciales, serán facilitadas cuando conste claramente la intervención de órgano judicial concreto. La cesión de datos a órganos judiciales y administrativos especiales será supervisada por el Responsable Interno del Tratamiento. (a) Organismos judiciales. Se facilitarán los datos en la medida en que sean solicitados mediando la intervención del juez y previo asesoramiento por parte del Gabinete Jurídico. En el caso de solicitudes de información por parte de los Cuerpos y Fuerzas de Seguridad del Estado, debe mediar orden judicial para la cesión de datos. (b)
Organismos administrativos -
Cuando la solicitud haya sido presentada por la Inspección Tributaria,
la Agencia Estatal Tributaria o las Oficinas - Cuando la solicitud sea presentada por el Instituto Nacional de la Seguridad Social o cualquiera de sus Agencias, en el ejercicio de las competencias que le son propias. - Cuando la solicitud sea presentada por la autoridad laboral correspondiente en el uso de las competencias que le son propias. - Cuando la solicitud de datos se presente basada en la Ley 12/1989, de 12 de Mayo, sobre Función Pública Estadística para la elaboración de estudios de este carácter. - Siempre que las cesiones sean obligatorias en virtud de una Ley. Artículo 18. Transferencia Internacional de datos Sin perjuicio de los procedimientos de cesión establecidos en Artículos anteriores, cualquier cesión de datos efectuada a un país que no sea miembro de la Unión Europea requerirá el previo pronunciamiento del Responsable Interno del Tratamiento, asesorado, en su caso por el Gabinete Jurídico. Las cesiones realizadas serán reflejadas en el Registro de Incidencias de la Universidad de Zaragoza. Artículo 19. Revocaciones y rectificaciones La revocación del consentimiento para la cesión de datos deberá realizarse necesariamente mediante escrito dirigido al Ilmo. Sr. Gerente de la Universidad de Zaragoza manifestando tal decisión, sin que sea posible efectuar tal revocación dentro de un mismo curso académico por otro procedimiento que no sea aquel. En particular, no se entenderá revocado el consentimiento cuando el interesado manifieste su consentimiento y su revocación mediante la cumplimentación de varios formularios administrativos dentro del mismo curso académico. Tanto la revocación del consentimiento del interesado para el tratamiento de sus datos como las rectificaciones de sus datos deberán ser comunicadas por el Gerente a las empresas cesionarias dentro del plazo máximo de 10 días desde que el interesado notifique la revocación o rectificación de datos.
Título IV. Creación, modificación y supresión de ficheros Artículo 20. Procedimiento de creación, modificación y supresión de ficheros La creación de ficheros de la Universidad de Zaragoza corresponde al Rector mediante resolución publicada en el BOA y notificación a la Agencia de Protección de Datos. Cuando una unidad de la Universidad necesite por razones de su competencia recabar datos distintos a los mencionados en los ficheros registrados de la Universidad de Zaragoza, lo solicitará al Gerente mediante escrito motivado. En caso de estimarse la solicitud, el Gabinete Jurídico llevará a cabo las actuaciones procedimentales precisas de cara a la modificación de ficheros y regularización ante los órganos competentes. No se podrá recabar ningún dato de carácter personal si no se encuentra previamente incluido en el fichero publicado y comunicado a la Agencia de Protección de Datos. Recabar datos distintos a los contenidos en los ficheros registrados sin contar con la previa autorización del Gerente, o recabarlos con anterioridad a su inclusión formal en los ficheros registrados, podrá lugar, en su caso, a responsabilidades disciplinarias, respondiendo el usuario frente a terceros y frente a la propia Universidad. La solicitud de creación de nuevos ficheros seguirá el mismo procedimiento. Las decisiones sobre modificación y supresión de ficheros se publicarán en el BOA mediante resolución del Rector y deberán comunicarse a la Agencia de Protección de Datos en el plazo máximo de un (1) mes desde que se hubieran publicado, a efectos de su inscripción. La creación, modificación y supresión de ficheros será tramitada por el Gabinete Jurídico de la Universidad a solicitud del Gerente. Artículo 21. Documentos de seguridad de los ficheros Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto dependiendo de la naturaleza de los datos personales contenidos en el fichero relevante: - Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. - Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el Artículo 29 de la Ley Orgánica 15/1999 de Protección de Datos relativo a la prestación de servicios de información sobre solvencia patrimonial y crédito, deberán reunir, además de las medidas de nivel básico, las calificadas de nivel medio. - Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. - Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio. Los documentos de seguridad de los ficheros así como sus modificaciones serán redactados por el Gabinete Jurídico de la Universidad apoyados por el Responsable de Seguridad del fichero en el apartado relativo a las especificaciones técnicas y serán aprobados por el Gerente de la Universidad de Zaragoza. Las cuestiones técnicas relativas a la implantación de medidas de seguridad serán asumidas por el Responsable de Seguridad de acuerdo con las instrucciones de servicio y documentos de seguridad de cada fichero. Artículo 22. Contenido mínimo de los documentos de seguridad Los documentos de seguridad de los ficheros de la Universidad de Zaragoza se referirán como mínimo a las funciones y responsabilidades del personal implicado en el tratamiento de datos, especificaciones técnicas y, en su caso, instrucciones de tratamiento al personal de la Universidad. El contenido mínimo de los documentos de seguridad, seguirá orientativamente la siguiente estructura con las particularidades concretas relativas al nivel de protección del fichero: A. Datos identificativos del fichero: A.1. Introducción. A.2. Ambito de aplicación. A.3. Estructura del fichero y descripción de los sistemas de información. A.4. Nivel de seguridad. B.. Funciones y responsabilidades del personal: B.1. Identificación del personal implicado en el tratamiento de datos. B.2. Identificación de obligaciones y competencias derivadas del tratamiento de datos. B.3. Asignación de funciones. C. Especificaciones Técnicas: C.1. Niveles de acceso interno a la información. C.2. Medidas de seguridad, procedimientos operacionales y gestión de incidencias. - Registro de incidencias. - Régimen de acceso a la información digital. - Tratamiento y acceso a la información en soporte papel. - Copias de seguridad. - Controles de acceso a locales. - Medidas de seguridad en las comunicaciones. - Auditorías. - Relación de aplicaciones informáticas con acceso a la información, ordenadores, etc. D. Instrucciones sobre tratamiento de datos. Disposición adicional primera: Actuaciones ante la Agencia de Protección de Datos. Corresponde
al Gerente de la Universidad de Zaragoza, asesorado, en su caso, por el
Gabinete Jurídico, la interlocución y el mantenimiento de
las relaciones institucionales con la Agencia de Protección de
Datos y / o organismo de la Comunidad Autónoma que asuma las competencias
en materia de protección de datos, sin Como
consecuencia del ejercicio de las potestades que la Ley reconoce al Director
de la Agencia de Protección de Datos en lo referente a solicitudes
de información y acciones inspectoras, y con el fin de obtener
una interlocución única ante la Agencia de Protección de
Datos u organismo de la Comunidad Autónoma, en el caso de que una
En el caso de que se realice la inspección, el Gerente comparecerá acompañado, como mínimo, por un miembro del Gabinete Jurídico y por el Responsable de Seguridad, tratando en lo posible que el inicio de la actuación inspectora cuente con la presencia de todos ellos. En caso de notificación de procedimiento o solicitud de información se remitirá al Gabinete Jurídico escrito original recibido de la Agencia de Protección de Datos informando de la fecha de notificación, así como información sobre los extremos solicitados por esta última si obran en su Unidad. El Gabinete Jurídico remitirá el informe que proceda al Gerente, para que éste lo remita a la Agencia de Protección de Datos. Disposición adicional segunda: Información integrada en el fichero de terceros Sin
perjuicio de lo establecido en el documento de seguridad del fichero de
terceros, los Encargados Internos de Tratamiento del fichero de terceros
en las distintas unidades deberán comunicar al Responsable Interno
del Tratamiento correspondiente, con anterioridad a la recogida de datos,
el inicio de un proceso de recogida de datos Los datos de terceros recabados o tratados por una unidad y no comunicados al Responsable Interno del Tratamiento en los términos antes previstos serán de exclusiva responsabilidad de los usuarios que los traten, respondiendo frente a terceros y frente a la Universidad en caso de producirse un tratamiento ilegítimo de los mismos.
|
| |
Anexos |  |
|||
|
©
Daniel Oliver-Lalana |
|
 |
|||