Delegado de Protección de Datos

Directrices y leyendas

En esta sección encontrará por un lado directrices (generales, para todos los miembros de la comunidad universitaria; administrativas; y referidas a la docencia e investigación) y, por otro, las leyendas preparadas por este DPD para ser tomadas como referencia por los distintos servicios de la ULL en su funcionamiento ordinario, debiendo adaptarlas a las circunstancias del servicio.

Directrices generales

No use datos personales sin un tratamiento inscrito

No realice ningún tratamiento de datos personales si dicho tratamiento no está autorizado e inscrito en el Registro de Actividades de Tratamiento de la ULL, o si usted no pertenece al colectivo o unidad administrativa que conforme a dicha inscripción realiza dicho tratamiento.

No comunique datos personales a terceros no autorizados

Ello no debe impedir el ejercicio de ningún derecho, sino adecuar si ejercicio a los requerimientos de privacidad de la información (p. ej., advertir de la finalidad para la que se da acceso y de la prohibición de cualquier uso distinto del ejercicio de dichos derechos, y guardar prueba de dicha advertencia; o anonimizar según convenga la información que se suministre, dejando constancia para que sea conocida por el receptor, y poder probar la medida adoptada). Las cesiones de información que se realicen han de estar contemplados en la inscripción del RAT correspondiente al tratamiento. Cuide que las tecnologías que utilice no cedan datos a terceros para tratamientos distintos a aquél para el que se recabaron los datos, ni realicen transferencias internacionales de datos no autorizadas (p.ej.: recabar datos en una web ponerle un contador de análisis de tráfico externo; poner unos botones prediseñados para compartir una concreta página en redes sociales, puede ceder datos para marketing al prestador del servicio; o utilizar Google Forms, DropBox, GoogleDrive, WhatsApp, Telegram,… todas ellas redes con servidores extranjeros y sujetas a sus propias políticas de privacidad y uso de los datos, que no tienen por qué coincidir ni ser compatibles con la de la ULL).

Cuide que el medio de comunicación sea privado

Distinga entre privacidad y seguridad. Las modernas redes sociales suelen tener sólidos mecanismos de seguridad frente a terceros, pero ellas mismas utilizan intensivamente los datos personales que les proporcionamos, no son un vehículo adecuado para garantizar la privacidad. Tampoco lo es el correo electrónico (consulte cómo usarlo, en su caso). Si se trata de in procedimiento administrativo, lo más razonable (y exigible legalmente) es implementarlo en la sede electrónica, realizar las notificaciones en sede, y utilizar el portafirmas institucional.

Conozca sus obligaciones de confidencialidad

Los datos personales de que dispone la ULL son para cumplir sus funciones de investigación, docencia y estudio, mediante los servicios referidos en el artículo 1 de la Ley Orgánica de Universidades. Usted puede y debe disponer de dichos datos en la medida en la que por su vinculación con la Universidad le corresponda participar en la prestación de dichos servicios, y los datos sean necesarios o provean una utilidad para alcanzar dicho fin. Deberá no obstante limitarse a usarlos para dichos propósitos.

Cumpla con los procedimientos de seguridad, normas y protocolos

Cumpla con los procedimientos de seguridad y normas internas que se le comuniquen.

Por ejemplo, la gestión de credenciales ULL, las normas de uso de cada servicio, uso de dispositivos ajenos a la ULL en redes ULL,..

Recabe y utilice la información mínima necesario

Recabe y utilice la información mínima necesaria (pero toda la pertinente) para la realización del tratamiento, esto es, para desempeñar satisfactoriamente su función.

Utilice contraseñas complejas y cámbielas con regularidad

Utilice contraseñas complejas de difícil deducción por terceros, no las anote, cámbielas con regularidad, y no repita la misma en distintos servicios.

Para aumentar la aleatoriedad es deseable que contengan números, letras mayúsculas y minúsculas, y algún signo de puntuación. Puede protegerlas con una contraseña maestra y generar claves aleatorias seguras con un programa de gestión de contraseñas. Si opta por anotarlas, hágalo en un lugar alejado del entorno en que se usa, y sin que resulte evidente a un tercero de qué servicio es la contraseña. La contraseña del servicio centralizado de autenticación debe ser única (no usarla en ningún otro servicio, ni interno ni ajeno a la ULL).

Cuide del acceso no autorizado a los datos: bloquee el equipo

Bloquee su equipo

Bloquee su equipo cuando se ausente de él, y apáguelo cuando se marche si otra cosa no se le hubiese indicado (por ejemplo para realizar actualizaciones); cierre gavetas y archivadores cuando no se estén utilizando; no nombre carpetas físicas con datos personales, utilice el número de expediente; no deje documentos a la vista, o en impresoras.

Cuide del acceso no autorizado a los datos: no lleve documentos

No lleve documentos

No lleve documentos, soportes digitales, ni equipos electrónicos con datos personales fuera de su lugar de trabajo si no está autorizado para ello. La mayor parte de las gestiones pueden realizarse remotamente conectándose a servidores de la ULL, que minimizan los datos personales en los equipos. Los que excepcionalmente copiara de forma temporal, cuide que sean eliminados permanentemente al terminar la sesión.

Cuide del acceso no autorizado a los datos: destruya los soportes que no necesita

Destruya los documentos y soportes cuando ya no los necesite

No tire a la papelera documentos con datos personales, DVDs, lápices USB, ni otros soportes sin proceder previamente a la destrucción bien de la información que contiene, bien del soporte mismo, de modo que no pueda recuperarse la información. Utilice una destructora de documentos/soportes, o un programa de borrado (no basta la opción ordinaria de borrar archivo).

En caso de duda, consulte

En caso de duda, consulte al Delegado de Protección de Datos.

Reporte cualquier incidencia

Directrices para la gestión administrativa

Acceso a expedientes con datos personales

Cuando un interesado en un expediente administrativo solicite copia de éste, en ejercicio de su derecho contenido en el artículo 53 LPA,  y se constate que contiene datos personales, debe realizarse la ponderación que se indica en el informe de este DPD 57/2018, a fin de valorar si procede conceder inicialmente derecho de acceso y, a la vista de la documentación, indique los concretos documentos que interesa, y a qué fin. En cualquier caso, la entrega de cualesquiera documentación con datos personales se hará previa firma de acta en la que se acredite informar al interesado de la naturaleza reservada de la información. Se recomienda además poner sello en la documentación que indique «confidencial». El texto que deberá firmar y conservarse en el expediente debe realizarse con base al siguiente modelo:

«El interesado queda advertido de que la información que se le facilita lo es con carácter reservado y a los solos efectos de permitirle el ejercicio de sus derechos en el marco del procedimiento en el que éstos se facilitan; así como que dicha información incluye datos de carácter personal, que deben ser tratados con el celo exigido a estos, principalmente en el Reglamento General de Protección de Datos, y en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Por ello queda obligado a custodiarlo con el debido celo, a establecer medidas de garantías suficientes para impedir el acceso por terceras personas, y a destruir los soportes de dicha información o a devolverlos a esta Administración por el mismo cauce cuando deje de ser útil al propósito al que se le han entregado, esto es, para el ejercicio de sus derechos en el marco de este procedimiento. Cualesquiera otro uso, o una custodia deficiente, podrá dar lugar a responsabilidad penal, administrativa y/o patrimonial».

Si se hubiera limitado la información a la que se considera debe acceder, se añadirá:

«Se le informa que se ha enmendado la documentación que se le entrega [si fuese el caso], tachando datos irrelevantes para el ejercicio de sus derechos, en los términos que ha interesado. Igualmente se han omitido los folios [indicar], ya que contienen [describir], información esta irrelevante para los fines manifestados por el interesado en su solicitud de acceso».

Estos textos deberán ser adaptados por el servicio administrativo correspondiente.

Publicación de DNIs

El DNI recibe un tratamiento especial en la Disposición Adicional 7ª de la LOPDGDD. La Agencia Española de Protección de Datos ha efectuado unas recomendaciones sobre su aplicación. Teniendo en cuenta todo ello, resulta:

  1. No se puede y queda prohibido publicar el DNI junto al nombre y apellidos;
  2. Si no es imprescindible publicar el DNI (ni lo exige la norma ni hay duda de a quién se refiere el listado, no hay duplicados) publique exclusivamente nombre y apellidos. Para evitar duplicados es preferible utilizar un código interno, como el alu, pero no el número de personal ni ningún otro que incorpore el DNI en la numeración (al usar el código alu nos limitaremos a sus cuatro últimos dígitos no poniéndolo entero para no facilitar la dirección de correo electrónico, en LibreCalc, y suponiendo que el código alu completo ‘alu0123456789@ull.edu.es’ o ‘alu0123456789’ está en la posición A1, en B1 escribiría:

    =EXTRAEB(A1;10;4)
  3. Siendo necesario publicar el DNI junto al nombre y apellidos (la normativa del concreto procedimiento así lo exige), refiera sólo cuatro dígitos aleatorios. Para la obtención de dichos dígitos se puede introducir el DNI y/o listado de DNIs en una hoja de cálculo aplicar la siguiente fórmula (probada en LibreCalc, de LibreOffice):  suponiendo que el DNI esté en la posición A1, en B1 escribiría:

    =EXTRAEB(A1;ALEATORIO.ENTRE(1;5);4)

    No olvide que debe guardar los datos y realizar búsquedas en ellos para no generar distintos códigos para la misma persona, que faciliten recomponer su DNI. La solución de la AEPD es temporal, por lo que en revisión de que el legislador no modifique ni aclare la regla de la D.A. 7ª, se recomienda renovar aquellos datos almacenados que tuvieran cuatro años de antigüedad.
  4. Como por este último motivo es preferible centralizar el truncamiento, para generar unos mismos códigos en toda la ULL, se recomienda que el paso anterior solicitarlo al STIC, de forma que se sigue la recomendación de la AEPD en cuanto a adecuar la aleatoriedad por instituciones, y al tiempo que se cumple la norma y su objetivo de dificultar la generación de perfiles de usuarios, se minimiza la posibilidad de averiguación del DNI. Para cualquier duda acuda al STIC.

Directrices para la docencia e investigación

Publicación de calificaciones (exámenes, prácticas, etc.)

Todas las publicaciones que formen parte de un expediente administrativo (y las calificaciones de los alumnos lo son, forman parte de un expediente que culmina con la obtención, en su caso, de un título, de grado, máster, doctor,…) han de ser realizadas en forma electrónica. Por otro lado, todas la notificaciones al alumnado se han de realizar en forma electrónica, y las notas en particular se publican para garantizar, entre otras cosas, la transparencia y calidad de la actividad docente. La plataforma (enlace) permite la publicación de las calificaciones finales, mientras que para las de las pruebas parciales es necesario utilizar un medio de publicación que llegue a todos los alumnos. En tanto no se habilite un tablón de anuncios a dichos efectos  o se adecúe el portal para publicaciones de calificaciones intermedias (no limitadas a actas finales), es recomendable realizar la publicación en el Campus Virtual, generando un pdf con el listado que, para cumplir con los requisitos de un documento administrativo, debe antes de ser publicado ser firmado utilizando el portafirmas institucional (sólo accesible desde la red ULL, o conectándose a ella por VPN). Cuando como en este supuesto se cuelgue un único documento de los distintos tipos que nos ofrece el portafirmas institucional, deberá generar y descargar el que se llama «copia PAdES».

Para más información sobre publicación de calificaciones puede consultar este informe.

Leyendas informativas

Pie de correos electrónicos y análogos

La mera recepción de este mensaje, sujeto a la política de privacidad de la ULL en el uso del correo electrónico, no significa que usted tenga derecho a reutilizar ni hacer público la información que contiene.

Información sobre derechos

Leyenda recomendada:

Descripción de este bloque. Utiliza este espacio para describir tu bloque. Cualquier texto es válido. Descripción de este bloque. Puedes utilizar este espacio para describir tu bloque.

Leyenda para soportes no electrónicos:

Descripción de este bloque. Utiliza este espacio para describir tu bloque. Cualquier texto es válido. Descripción de este bloque. Puedes utilizar este espacio para describir tu bloque.

Texto breve, si hubiera problemas de espacio:

Descripción de este bloque. Utiliza este espacio para describir tu bloque. Cualquier texto es válido. Descripción de este bloque. Puedes utilizar este espacio para describir tu bloque.

Convocatoria de plazas de personal

Cláusulas en protección de datos

  1. De acuerdo con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos, RGPD), y reforzado por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE nº 294, de 6.12.18, LOPDGDD), los datos facilitados por los aspirantes serán tratados inicialmente para la gestión de su participación en el proceso de selección que corresponda y, de resultar seleccionados, para la gestión del personal de la Universidad de La Laguna, gestión de la docencia e investigación, y gestión de la participación del personal en los servicios y actos universitarios. Siendo algunos de los servicios prestados por empresas externas, la activación de los mismos (p.ej. el correo electrónico) puede requerir que el interesado preste su conocimiento a condiciones adicionales sobre el uso de sus datos de carácter personal. Adicionalmente los datos pueden tratarse con fines históricos, estadísticos u otros especialmente autorizados por la normativa de aplicación. Los concretos tratamientos realizados por la ULL pueden consultarse en el Registro de Actividades de Tratamiento, accesible en la dirección [téngase en cuenta que deberá moverse al portal de transparencia, art. ].
  2. A través de la presentación de la solicitud de participación en el concurso, la persona interesada consiente en que los datos personales recogidos en aquella
    puedan ser cedidos a otras Administraciones Públicas en cumplimiento de la normativa laboral, de seguridad social y tributaria, o a cualquier otra entidad a la que exista una obligación legal de cesión de datos; lo que en todo caso se realizará de acuerdo con lo dispuesto en el RGPD, y en la LOPDGDD y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007. En los términos establecidos en el citado Reglamento General de Protección de Datos, los interesados podrán ejercitar los derechos de acceso, rectificación, supresión y portabilidad de sus datos, así como de limitación y oposición a su tratamiento cuando corresponda, a través del procedimiento electrónico de Ejercicio de derechos sobre datos de carácter personal, habilitado en la Sede electrónica de la ULL y disponible en el siguiente enlace.
  3. Desde el momento de presentación de esta solicitud, el interesado vendrá obligado a relacionarse electrónicamente con esta Administración (artículo 41.1 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, BOE n.o 236), recibiendo las notificaciones únicamente en la sede electrónica de la Universidad, previo aviso en la dirección de correo electrónico que hubiere habilitado; o mediante su publicación en el Boletín Oficial de la Universidad de La Laguna, cuando procediere, surtiendo ésta los efectos de la notificación en los términos del artículo 45 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas (BOE nº 236).
  4. La adjudicación de la plaza y ulterior incorporación a la Universidad de La Laguna vinculará al solicitante al cumplimiento de cuantas políticas e instrucciones ésta apruebe en lo tocante al tratamiento de datos de carácter personal, incluidas las medidas técnicas y organizativas, medidas de seguridad, utilización de equipos y sistemas, interoperabilidad y cuantas otras pudiera dictar la Universidad de La Laguna, a través de sus órganos competentes. Su conocimiento requerirá de una actitud activa por parte del personal, mediante la consulta de la dirección del portal web de la institución que se referirá en el acuerdo que suscriba, o en aquellos otros que en cada momento se indiquen. También estará obligado a firmar acuse de cuantas instrucciones le fueren dirigidas por medios telemáticos.

Fuente: Guía normativa sobre contratación de personal. GN-001-19 . Vers. 1.1 – 20180318.