de dades de caràcter personal (lopd) - seu.uib.cat · compliment de la llei orgànica 15/1999, de...

Compliment de la Llei orgànica 15/1999, de protecció de dades de caràcter personal (LOPD)

Document de seguretat

Document d’ús intern de la UIB, d’acord amb el que preveu l’article 88.2 del Reial decret 1720/2007, pel qual s’aprova el Reglament de desplegament de la LOPD

Aprovat pel Consell de Direcció: 13 de novembre de 2012

Document de seguretat (ús intern UIB)

iii

SUMARI

1. Àmbit d'aplicacio............................................................................................................. 1

2. Funcions i obligacions del personal................ .............................................................. 3

2.1 Classificació del personal ........................................................................................ 3

2.2 Responsables de la informació .............................................................................. 3 2.2.1 Responsable del fitxer ...................................................................................................3 2.2.2 Responsable de seguretat.............................................................................................4 2.2.3 Responsables funcionals...............................................................................................4

2.3 Administradors informàtics ....................................................................................4

2.4 Obligacions que afecten tot el personal.................................................................4 2.4.1 Llocs de treball ..............................................................................................................5

2.4.2 Salvaguarda i protecció de les contrasenyes personals ............................................5

2.4.3 Gestió d’incidències .....................................................................................................6

2.4.4 Qualitat de les dades....................................................................................................6

2.4.5 Informació i autorització prèvia a la recollida de dades personals...........................6

2.4.6 Deure de secret .............................................................................................................7

2.4.7 Confidencialitat de la informació .................................................................................7

2.4.8 Gestió de suports .........................................................................................................7

2.4.9 Propietat intel·lectual i industrial.................................................................................7

2.4.10 Consideracions especials per a informació sensible (de nivell mitjà o alt).............8 Extraccions de les oficines ...............................................................................................................8 Enviaments per correu electrònic o altres mitjans electrònics .....................................................8 Enviaments per missatgeria o correu postal.................................................................................8 Ordinadors portàtils i altres dispositius informàtics mòbils.........................................................8 Revisions en llocs públics ................................................................................................................8 Transmissions per fax.....................................................................................................................8 Converses telefòniques i videoconferències ...................................................................................8

2.5 Conseqüències de l’incompliment del Document de seguretat............................9 2.6 Obligacions d’un encarregat del tractament ..........................................................9

2.6.1 Obligacions pel que fa a videovigilància i control d’accessos ....................................9


iv

3. Mesures, normes, procediments d'actuació, regles i estàndards encaminatsa garantir el nivell de seguretat dels fitxers......................................................................11

3.1 Resum ....................................................................................................................... 11

3.2 Normativa sobre els principis de protecció de dades ...........................................14 3.2.1 Qualitat de les dades.....................................................................................................14

3.2.2 Dret d’informació en la recollida de dades..................................................................14

3.2.3 Consentiment de l’afectat (exprés/tàcit).....................................................................15

3.2.4 Dades especialment protegides...................................................................................15

3.2.5 Dades de menors...........................................................................................................15

3.2.6 Eliminació de dades obsoletes.....................................................................................16

3.2.7 Cessió de dades personals............................................................................................16

3.2.8 Finalitat dels fitxers ......................................................................................................16

3.3 Identificació i autenticació (fitxers automatitzats) ...............................................16

3.4 Control d’accés..........................................................................................................17

3.5 Registre d’accés (fitxers automatitzats de nivell alt)..............................................17

3.6 Gestió de suports i documents................................................................................17

3.7 Còpies de seguretat (fitxers automatitzats)............................................................17

3.8 Incidències de seguretat...........................................................................................17 3.8.1 Responsabilitats.............................................................................................................17

3.8.2 Notificació d’incidents de seguretat ...........................................................................18

3.9 Transmissions de dades a través de xarxes de comunicacions (fitxers automatitzats)............................................................................................................... 19

3.9.1 Fitxers de nivell alt ........................................................................................................19

3.10 Proves amb dades de caràcter personal (fitxers automatitzats) ....................... 19

3.11 Fitxers temporals .................................................................................................. 20

3.12 Accés a les dades per compte de tercers.............................................................20

3.13 Règim de treball fora dels locals de la ubicació del fitxer.................................. 21

3.14 Auditoria (fitxers de nivell mitjà i alt)..................................................................21

3.15 Control del Document de seguretat ....................................................................22 3.15.1 Revisió.........................................................................................................................22

3.15.2 Aprovació ..................................................................................................................22

3.16 Controls periòdics de verificació del compliment..............................................22


1 Àmbit d’aplicació

1. Àmbit d'aplicació

El present document s’ha d’aplicar als fitxers que contenen dades de caràcter personal que estan sota la responsabilitat de la Universitat de les Illes Balears, inclosos els sistemes d’informació, suports i equips utilitzats per al tractament de dades de caràcter personal, que han de ser protegits d’acord amb el que disposin la normativa vigent, les persones que intervenen en el tractament i els locals en què se situen.

De forma més concreta, l’abast del Document de seguretat inclou tots els serveis, seus, centres i empleats que accedeixen als sistemes d’informació de la Universitat de les Illes Balears, així com organismes o empreses col·laboradores involucrades en la utilització de la informació i dels sistemes.

La protecció de les dades dels fitxers pel que fa a accessos no autoritzats s’ha de fer mitjançant el control de totes les vies per les quals hom pugui tenir-hi accés.

Els recursos que, pel fet de servir de mitjà directe o indirecte per accedir als fitxers, han de ser controlats per aquesta normativa són:

• Els llocs de treball i els sistemes informàtics o aplicacions, siguin locals o remots,establerts per accedir a les dades, des dels quals hom pot tenir accés als fitxers.

• Els servidors i l’entorn de sistema operatiu i de comunicacions en què estan situatsels fitxers, descrits a l’annex 2 d’aquest document.

• Els centres de tractament i e l s l o c a l s o n e s t a n s i t u a t s e l s f i t x e r s os'emmagatzemen e l s suports que els continguin, la descripció dels quals figura al’annex 2.

• Les còpies de seguretat, on s'emmagatzema el suport dels fitxers.

Els fitxers subjectes a les mesures de seguretat establertes en aquest document, amb indicació del nivell de seguretat corresponent, es detallen a l’annex 4.

S’aplicaran els nivells definits al títol VIII del Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (RDLOPD), per a les dades de caràcter personal. Les mesures de seguretat es classifiquen en tres nivells acumulatius (bàsic, mitjà i alt) d’acord amb la naturalesa de la informació tractada, en relació amb el grau de necessitat de garantir la confidencialitat i la integritat de la informació. A continuació es presenta un quadre on s’indica la classificació dels fitxers en funció de les dades que continguin:


2 Àmbit d’aplicació

Nivell del fitxer S’aplicarà als fitxers o tractaments de dades:

S’aplicarà a qualsevol fitxer que contingui dades de caràcter personal, és a dir, que permetin identificar una persona: nom, cognoms, DNI, domicili, telèfon, etc.

També als fitxers que continguin dades d’ideologia, afiliació sindical, religió, creences, salut, origen racial o vida sexual, quan:

• les dades s’utilitzen amb l’única finalitat de realitzar una transferència dineràriaa entitats de les quals els afectats siguin associats o membres;

• es tracti de fitxers o tractaments no automatitzats o siguin tractaments manualsd’aquests tipus de dades de forma incidental o accessòria, que no guarden relacióamb la finalitat del fitxer;

Nivell bàsic

• els fitxers o tractaments continguin dades de salut, que es refereixin exclusivamental grau o condició de discapacitat o la simple declaració d’invalidesa, amb motiudel compliment de deures públics.

Relatius a la comissió d’infraccions administratives o penals;

Que es regeixin por l’article 29 de la LOPD (prestació de serveis de solvència patrimonial i crèdit);

D’administracions tributàries, i que es relacionin amb l’exercici de les seves potestats tributàries;

D’entitats financeres per a les finalitats relacionades amb la prestació de serveis financers;

D’entitats gestores i serveis comuns de Seguretat Social, que es relacionin amb l’exercici de les seves competències;

De mútues d’accidents de treball i malalties professionals de la Seguretat Social;

Que ofereixin una definició de la personalitat i permetin avaluar-ne determinats aspectes o permetin avaluar aspectes del comportament de les persones;

Nivell mitjà

Dels operadors de comunicacions electròniques, pel que fa a les dades de trànsit i localització.

D’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual, quan no es prevegi la possibilitat d’adoptar el nivell bàsic;

Recaptats amb finalitats policials sense consentiment de les persones afectades; Nivell alt

Derivats d’actes de violència de gènere.

En aquest document, «informació sensible» és aquella que correspon als nivells mitjà o alt.


3 Funcions i obligacions del personal

2. Funcions i obligacions del personal

El present apartat recull les funcions i les obligacions a les quals està subjecte i que ha de conèixer, acceptar i seguir tot el personal de la Universitat de les Illes Balears. En l’àmbit d’aquest document, sempre que es faci referència al personal, s’ha d’entendre que hom es refereix tant al personal d’administració i serveis (en endavant, PAS) com al personal docent i investigador (en endavant, PDI) o al subcontractat o adscrit que tingui accés als recursos de la Universitat.

Les normes que es redacten a continuació s’han d’aplicar ordinàriament a tots els fitxers que es descriuen a l’annex 4 d’aquest document, llevat d’aquells punts en què s’especifica a l’encapçalament «nivell mitjà», cas en el qual la norma només afecta els fitxers de nivell mitjà, o «nivell alt», cas en el qual la norma només afecta els fitxers de nivell alt.

Una còpia d’aquest document amb la part que l’afecti serà lliurada, si així ho sol·licita, per al seu coneixement, a cada persona autoritzada a accedir a les dades d’un fitxer.

Totes les persones que tinguin accés a les dades d’un fitxer tenen l’obligació, per llei, de complir el que estableix aquest document i estan subjectes a les conseqüències en què puguin incórrer en cas d’incompliment.

2.1. Classificació del personal

A efectes d’aquesta normativa, s’estableixen uns perfils per al personal de la Universitat de les Illes Balears, de manera que cadascú pertanyerà almenys a una d’aquestes categories:

• Responsables de la informació: a qui s’assigna la responsabilitat d’adquirir,desenvolupar i mantenir la informació. Entre altres funcions, correspon alsresponsables classificar la informació segons el nivell i la confidencialitat, designar elsusuaris als quals és permès l’accés i aprovar i autoritzar les diverses formes en què lainformació és utilitzada. Pertanyen a aquest perfil les figures següents:

o responsable del fitxero responsable de seguretato responsables funcionals (caps i directors de servei, administradors de

centre i equivalents)• Administradors informàtics: personal tècnic que també té accés a la informació, però

no per al desenvolupament de la seva feina, sinó com a encarregat de les tasquesd’administració i manteniment dels sistemes d’informació de la Universitat.

• Usuaris de la informació: tot el personal que hi accedeix i utilitza la informació peral desenvolupament de la seva feina habitual, i que és responsabilitat de la Universitat.

A continuació s’especifiquen les funcions i les obligacions a les quals està subjecte el personal que pertany a cada una de les categories esmentades.

2.2. Responsables de la informació

2.2.1. Responsable del fitxer El responsable del fitxer és l’encarregat de la seguretat del fitxer i d’implantar les mesures que es detallen a la normativa de seguretat de la Universitat. També adoptarà les mesures necessàries perquè els empleats coneguin les normes que tinguin a veure amb el desenvolupament de les seves funcions i que estiguin recollides al Document de seguretat.



A continuació s’enumeren les principals funcions i obligacions que adquireix el responsable del fitxer, que es detallen a l’annex 8.2.1.

• Nomenaments• Normativa de seguretat• Controls i autoritzacions• Comunicacions amb l’Agència Espanyola de Protecció de Dades (AEPD) i els afectats• Procediments de còpies de seguretat i de recuperació de les dades• Controls periòdics de verificació del compliment• Responsabilitat

2.2.2. Responsable de seguretat El responsable de seguretat ha d’analitzar, juntament amb el responsable del fitxer, les mesures definides al Document de seguretat amb la finalitat tant de garantir-ne el compliment com de mantenir el document en tot moment actualitzat i revisat, de manera que periòdicament caldrà efectuar controls interns per verificar el compliment de les normes, amb l’objectiu que es puguin detectar i resoldre possibles anomalies.

A continuació s’enumeren les principals funcions i obligacions del responsable de seguretat, que es detallen a l’annex 8.2.2.

• Coordinació amb el responsable del fitxer• Definició de la normativa• Controls i autoritzacions• Gestió d’incidències• Controls periòdics de verificació del compliment

2.2.3. Responsables funcionals És el personal (caps i directors de s e r v e i , a d m i n i s t r a d o r s d e c e n t r e i e q u i v a l e n t s ) q u e d e l e g a e l responsable del fitxer perquè apliqui els procediments prevists al Document de seguretat i supervisi les actuacions de les persones que té a càrrec seu. Les funcions i les obligacions dels responsables funcionals es detallen a l’annex 8.2.3.

2.3. Administradors informàtics

Es tracta del personal que administra els sistemes mitjançant els quals hom accedeix als fitxers de dades.

Les principals funcions de l’administrador informàtic són les següents, que es detallen a l’annex 8.2.4.

• Gestió d’incidències• Salvaguarda i protecció de les contrasenyes personals• Procediments de còpies de seguretat i de recuperació de dades• Proves amb dades reals• Fitxers temporals• Controls periòdics de verificació del compliment

2.4. Obligacions que afecten tot el personal

Tot el personal que accedeixi al fitxer ha de complir les normes de seguretat que es defineixen a continuació. A més, la Universitat de les Illes Balears ha desenvolupat un manual de bones pràctiques informàtiques que recull els criteris de conducta que ha de seguir el personal pel que fa a l’ús dels sistemes d’informació.



El manual de bones pràctiques informàtiques és a l’annex 9 d’aquest document.

2.4.1. Llocs de treball • Cada empleat és responsable del seu lloc de treball. Vetllarà perquè tant la

informació que es mostri a través de la pantalla del seu ordinador com els documentsen paper, etc. que utilitzi al seu lloc de treball i que continguin dades de caràcterpersonal no puguin ser vists per persones no autoritzades per accedir a les dades delfitxer.

• Això implica que tant les pantalles com les impressores o un altre t ipus dedisposit ius connectats al lloc de treball han d’estar físicament ubicats en llocs quegaranteixin aquesta confidencialitat. Per exemple, no s’han de situar pantalles en llocsque siguin visibles per a persones externes, com ara zones de pas, finestres...

• Quan el responsable d’un lloc de treball l’abandoni, o bé temporalment o bé en acabarel torn de treball, l’ha de deixar en un estat que impedeixi la visualització de lesdades protegides. Això es fa amb un protector de pantalla, que impedeix lavisualització de les dades i que sol·licita la contrasenya de l’usuari per reprendre lafeina. Pel que fa a la documentació en paper que conté informació sensible, es guardaràpreferentment en armaris tancats amb clau o en llocs que no siguin accessibles apersonal no autoritzat.

• En el cas de les impressores, cal assegurar que no quedin documents impresos a l asafata de sortida que continguin informació sensible. Si les impressores sóncompartides amb altres usuaris no autoritzats per accedir a les dades del fitxer, elsresponsables de cada lloc han de retirar els documents a mesura que es vaginimprimint.

• Els llocs de treball des dels quals hom té accés al fitxer tindran una configuració fixade les aplicacions i els sistemes operatius que només podrà ser canviada ambl’autorització del responsable de seguretat o pels administradors del sistema.

2.4.2. Salvaguarda i protecció de les contrasenyes personals • El mecanisme que s’empra habitualment per validar la identitat d’una persona

consisteix a assignar-li una parella, que és un codi d’usuari i una contrasenya. El codi d’usuari és públic i identifica la persona en el sistema. La contrasenya és secreta; només la pot saber la persona a qui correspon el codi d’usuari. És obligació de l’usuari mantenir la seva contrasenya en secret i tenir cura que altres no la puguin saber.

• Cada empleat amb accés als sistemes informàtics ha de tenir un nom d’usuari i unacontrasenya. Aquest codi d’usuari només el pot emprar una única persona. Es prohibeix l’accés a qualsevol dels sistemes de la Universitat de forma anònima o amb el codi d’una altra persona.

• Cada usuari és responsable de la confidencialitat de la seva contrasenya. Si l’empleatsospita que la seva contrasenya pot haver estat compromesa, per qualsevol circumstància, l’ha de canviar i posar-ne una de nova. Si l’empleat s’adona que una altra persona ha tingut accés fortuïtament o fraudulentament a la seva contrasenya, ha de registrar-ho com a incidència de seguretat i canviar-la immediatament.

• L’empleat ha de verificar la darrera data de connexió que li mostra el sistema icomprovar si és la data en la qual es va connectar ell per darrera vegada. Si no coincideix o té dubtes, ha de canviar la contrasenya immediatament.

• Les contrasenyes emprades en els sistemes de la UIB no es poden emprar en altressistemes, llocs o àmbits. Les contrasenyes emprades en els sistemes de la UIB han de ser úniques, creades expressament per a l’autenticació que es requereix a la UIB. Les contrasenyes no poden ser reutilitzades. Tampoc no s’han d’escriure o introduir en cap pantalla, formulari o pàgina que no sigui l’habitual per autenticar-se en el sistema corresponent.

• Davant una baixa o absència temporal prolongada d’un usuari, el responsable del fitxerpot autoritzar que hi accedeixi un altre usuari amb la temporalitat i els permisos que es considerin necessaris.



2.4.3. Gestió d’incidències • Qualsevol usuari q u e t i n g u i c o n e i x e m e n t d ’ u n a incidència

h o h a d e comunicar immediatament al responsable de seguretat o, si no, a l’administrador del sistema.•Aquesta comunicació s’ha de fer en un termini no superior a un dia laboral des que es tingui coneixement de la incidència.

• S’entén per incidència q u a l s evol situació o esdeveniment que afecti o pugui afectar laseguretat, la integritat i/o la disponibilitat de les dades. Alguns exemples d’incidències podrien ser: infecció per virus d’un arxiu o d’una aplicació, enviament d’informació personal a una adreça equivocada, donar informació sensible a persones alienes, avaria de disc dur que provoqui pèrdua de dades, caiguda de la xarxa informàtica, etc.

• El fet que un usuari conegui i no notifiqui una incidència serà considerat com unafalta contra la seguretat del fitxer per part d’aquest usuari.

El formulari de notificació i gestió d’incidències és a l’annex 6.1.

2.4.4. Qualitat de les dades1 • No es permet recollir dades personals sense l’autorització expressa d’un responsable

de fitxer nomenat.• Les dades de caràcter personal només es poden recollir per a la consecució de la

finalitat del fitxer en què s’inclouen i no poden utilitzar-se per a finalitats distintes d’aquelles per a les quals s’hagin recollit.

• Les dades de caràcter personal han de ser exactes i estar posades al dia, de manera quecorresponguin amb veracitat a la situació actual de l’interessat. Si resulten inexactes o incompletes, s’han de cancel·lar i substituir per les correctes. Això no significa que la Universitat hagi de validar les dades de forma periòdica, sinó que, si l’interessat exerceix el dret de rectificació, les seves dades s’han de modificar adequadament.

• Les dades de caràcter personal s’han de cancel·lar quan hagin deixat de ser necessàrieso pertinents per a la finalitat per a la qual s’hagin recollit. Per això, cal fixar una vigènciade les dades, període després del qual les dades es cancel·laran i eliminaran.

• No es permet encreuar informació relativa a dades de diferents fitxers o serveis perestablir perfils de personalitat, hàbits de consum o qualsevol altre tipus de preferències,sense l’autorització expressa del responsable del fitxer.

• No es pot desenvolupar cap activitat que no estigui expressament permesa en aquestdocument o a les normes sobre protecció de dades i instruccions de l’AgènciaEspanyola de Protecció de Dades (AEPD).

2.4.5. Informació i autorització prèvia a la recollida de dades personals2 • Els usuaris han de recollir únicament les dades de caràcter personal relatives als fitxers

declarats per la Universitat de les Illes Balears, l’estructura dels quals es descriu a l’annex 4 d’aquest Document de seguretat.

• Els interessats als quals se sol·liciten dades personals han de ser prèviament informats:a. De l’existència d’un fitxer o tractament de dades de caràcter personal, de

la finalitat de la recollida d’aquestes i dels destinataris de la informació.b. Del caràcter obligatori o no de les seves respostes a les preguntes que els

siguin plantejades.c. De les conseqüències de l’obtenció de les dades o de la negativa a

subministrar-les.d. De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició.e. De la identitat i l’adreça del responsable del tractament.

• No és necessària la informació a què es refereixen les lletres b) i c) de l’apartat anteriorsi el contingut es dedueix clarament de la naturalesa de les dades personals que sesol·liciten o de les circumstàncies en què es recullen.

L’annex 7 recull models de llegenda per complir amb el deure d’informació.

1 LOPD, article 4. 2 LOPD, article 5.



2.4.6. Deure de secret3 • Tots els usuaris estan obligats al secret professional r e s p e c t e d e l e s d a d e s d e

c a r à c t e r personal i al deure de guardar-les, obligacions que subsistiran encara després de finalitzar les re lacions amb el t i tular del f i txer o, en el seu cas, amb el responsable del fitxer.

2.4.7. Confidencialitat de la informació • Està prohibit enviar informació confidencial de la Univers i tat a l ’exter ior ,

mit jançant suports materials o a través de qualsevol altre mitjà, sense l’autorització expressa del seu responsable.

• Cap usuari no pot revelar informació confidencial adquirida per raó de la seva posició,ni utilitzar d’una altra manera aquesta informació per al seu guany o benefici personal.

• Cap col·laborador no ha de posseir, per a usos no propis de la seva responsabilitat,cap material o informació propietat de la Universitat, tant ara com en el futur.

• En cas que l’usuari entri en possessió d’informació confidencial, s’ha d’entendre queaquesta possessió és estrictament temporal; té obligació de secret i no té cap dret de possessió o de titularitat o de còpia sobre aquesta informació. Així mateix, el treballador ha de tornar el material que contingui la informació a la Universitat, immediatament després de la finalització de les tasques que n’han originat l’ús temporal i, en qualsevol cas, quan acabi la relació laboral.

2.4.8. Gestió de suports • Els suports que continguin dades de caràcter personal han d’estar clarament

identificats amb una etiqueta externa que indiqui el tipus d’informació que contenen.• S’han de posar els mitjans necessaris per a la protecció dels suports que continguin

dades de caràcter personal. En acabar la jornada laboral, els suports amb dades de caràcter personal s’han d’emmagatzemar de forma que no estiguin a l’abast de personal no autoritzat, com per exemple en armaris protegits amb clau.

• S’han d’utilitzar els mitjans necessaris per esborrar la informació amb dades decaràcter personal dels suports abans d’eliminar-los o reutilitzar-los, de manera que no pugui ser recuperada. Així:

o Per a la informació en suport paper s ’ h a n d ’ u t i l i t z a r màquines dedestruir documentació habilitades a l’efecte.

o En el cas dels suports electrònics, s’han de lliurar a l’àrea d’informàtica, ons’han de formatar i s’han de dipositar en màquines de destruir suports electrònics.

• Nivell mitjà i alt. Cal realitzar el registre de l’entrada i sortida de suports amb dadesde nivell mitjà o alt a la Universitat. A l’annex 5 d’aquest Document de seguretat es detalla el procediment que s’ha de seguir per al registre dels suports.

• Nivell alt. Quan les dades del fitxer s’han d’enviar fora del recinte físicament protegiton està ubicat el fitxer, o bé mitjançant un suport físic de gravació de dades o bé mitjançant correu electrònic, els fitxers s’han d’encriptar o protegir de forma que només els pugui llegir i interpretar el destinatari.

2.4.9. Propietat intel·lectual i industrial • Queda estrictament prohibit l ’ ú s d e programes informàtics s e n s e l a

c o r r e s p o n e n t llicència, així com l’ús, la reproducció, la cessió, la transformació o la comunicació pública de q u a l s e v o l t i p u s d ’ o b r a o i n v e n c i ó p r o t e g i d a p e r l a p r o p i e t a t i n t e l · l e c t u a l o industrial.

3 LOPD, article 10.



2.4.10. Consideracions especials per a informació sensible (de nivell mitjà o alt)

Extraccions de les oficines No es pot treure fora de les of icines de la Universitat informació de nivell mitjà i alt sense l’autorització prèvia i per escrit del responsable del fitxer o persona que delegui.La informació de nivell alt en format electrònic que s’hagi de treure de les oficines de la Universitat, ha d’estar encriptada o protegida per algun mecanisme que impedeixi l’accés a persones no autoritzades.

Enviaments per correu electrònic o altres mitjans electrònics La informació de nivell mitjà i alt només es pot enviar encriptada o protegida por algun mecanisme que hi impedeixi l’accés a persones no autoritzades. Aquesta mesura s’aplica tant a la informació continguda al cos del missatge com als fitxers adjunts.

Enviaments per missatgeria o correu postal

• La informació de nivell mitjà i alt només es pot enviar a través de missatgers fiablesi coneguts.

• Els enviaments s’han de fer amb justificant de recepció o correu certificat i s’han delliurar en mà. No és permès l’ús de correu convencional per a enviaments d’informaciósensible.

Ordinadors portàtils i altres dispositius informàtics mòbils

• Els usuaris que disposin de qualsevol dispositiu informàtic mòbil e n e l q u a l h ih a g i informació de nivell mitjà o alt emmagatzemada , no poden de i xa raques t s d i spos i t ius desatesos e n c a p m o m e n t , l l e v a t q u e l ai n f o r m a c i ó e s t i g u i e n c r i p t a d a o p r o t e g i d a p er algun mitjà que hiimpedeixi els accessos no autoritzats.

• Si a més treuen regularment e l s d i s p o s i t i u s i n f o r m à t i c s m ò bi l s o p o r t à t i l s d e l e s instal·lacions, les unitats d’emmagatzematge deldispositiu han d’estar encriptades íntegrament. El responsable del fitxer ha d’aprovarl’eina d’encriptació que cal utilitzar.

Revisions en llocs públics

• Els usuaris de la Universitat no han de viatjar en transport públic q u a n p o r t e ninformació sensible, llevat que estigui protegida por algun mitjà quan estigui ensuport paper, o encriptada o protegida de manera que s’hi impedeixi els accessos noautoritzats quan estigui en format electrònic.

• No s’ha de llegir, comentar ni manejar aquesta informació en llocs públics comavions, restaurants, ascensors, sales d’espera, ni cap altre lloc públic.

• Cap usuari no pot treure informació sensible de l’Estat espanyol s e n s ea u t o r i t z a c i ó prèvia i per escrit del responsable de seguretat.

Transmissions per fax

• Cal intentar restringir els enviaments per fax d’informació sensible.• En cas q u e s i g u i i m p r e s c i n d i b l e f e r -ho, cal verificar prèviament que el

destinatari està disponible per rebre la informació i confirmar el número de destinació.Cal informar-lo telefònicament que hom li transmetrà informació, perquè estiguipendent de la recepció.

Converses telefòniques i videoconferències • No s’han de mantenir converses telefòniques ni videoconferències en què es

comparteix informació sensible, llevat que tots els implicats hagin verificat que no hi ha persones no autoritzades que puguin escoltar o observar la informació.

• No s’ha de deixar informació sensible a les bústies de veu o elscontestadors automàtics.

• La informació sensible compartida ha de ser la mínima imprescindible que es requereixi.

•

•

•



2.5. Conseqüències de l’incompliment del Document de seguretat

L’incompliment d’aquestes normes es regula pel que disposen l’Acord normatiu 9257/2009, de 17 de novembre, pel qual es modifica l’Acord normatiu 8582/2008, de 10 de juny, pel qual s’aprova l’ordre de funcions dels diferents cossos i escales del personal funcionar i de la UIB (FOU núm. 321, de 18 de desembre), i la Llei 7/2007, de 12 d’abril, de l’Estatut bàsic de l’empleat públic (BOE. núm. 89, de 13 d'abril), sens perjudici d’altres responsabilitats que hi pugui haver.

Els responsables de serveis i unitats han de vetllar per l’efectiu compliment del que disposa la present normativa, i promoure accions de sensibilització, divulgació i implantació entre el personal a càrrec seu.

La Universitat de les Illes Balears preveurà a les seves reglamentacions internes les infraccions al que conté la present norma, a efectes dels corresponents expedients disciplinaris.

2.6. Obligacions d’un encarregat del tractament

Segons el que estableix l’article 3.g) de la LOPD, s’entén per encarregat del tractament: «la persona física o jurídica, l’autoritat pública, el servei o qualsevol altre organisme que, sol o conjuntament amb altres, tracti dades personals per compte del responsable del tractament».

Aquesta realització de tractament per compte de tercers ha d’estar regulada en un contracte que ha de constar per escrit o en alguna altra forma que permeti acreditar-ne la subscripció i el contingut, i s’hi ha d’establir expressament que l’encarregat de tractar les dades ho farà d’acord amb les instruccions del responsable del fitxer, que no les aplicarà o utilitzarà amb finalitats distintes de les que figurin al contracte, ni les comunicarà, ni tan sols per a la conservació, a altres persones.

No es considera encarregat del tractament la persona física que tingui accés a les dades personals en la seva condició d’empleat dins la relació laboral que manté amb el responsable del fitxer.

L’annex 7 recull models de contractes i d’acords de confidencialitat amb tercers.

2.6.1. Obligacions pel que fa a videovigilància i control d’accessos

L’AEPD ha emès recomanacions4 pel que fa a la gestió de les dades de videovigilància i, per això, s’ha considerat convenient incloure en aquest Document de seguretat un apartat en què s’expliquen els passos a seguir per complir amb la reglamentació vigent en matèria de protecció de dades de caràcter personal:

• Col·locar, a les zones videovigilades, almenys un distintiu informatiu c o m e l q u ee s mostra a l’annex 6.7 ubicat en un lloc suficientment visible, tant en espais obertscom tancats. Es recomana situar un d’aquests distintius en cada una de les entrades del’edifici (de manera que els afectats siguin informats abans que siguin enregistrats) ialgun recordatori més a l’interior.

• Tenir a disposició dels interessats impresos en els quals es detalli la informacióprevista a l’article 5.1 de la LOPD. Es mostra l’esmentat imprès a l’annex 6.7 delpresent document. Aquests impresos s’ubicaran en un lloc accessible als interessats,com pot ser el lloc de control d’entrada a l’edifici, per exemple.

4 Instrucció 1/2006, de 8 de novembre, de l’Agència de Protecció de Dades, sobre el tractament de dades personals amb

finalitats de vigilància a través de sistemes de càmeres o videocàmeres.



• Disposar dels formularis p e r t i n e n t s p e r q u è e l s i n t e r e s s a t sp u g u i n e x e r c i r e l s drets d’accés, rectificació i cancel·lació. A l’annex6.6 es mostren els models que es proposen. Aquests formularis s’ubicaran devoral’imprès que s’ha mencionat a l’apartat anterior.

• Les imatges enregistrades per les càmeres de videovigilància han de sercancel·lades en el termini màxim d’un mes des de la captació.

• Per al cas d’enregistraments d’espais públics, tal com indica l’article 4.3 de laInstrucció 1/2006, «Las cámaras y videocámaras instaladas en espacios privados nopodrán obtener imágenes de espacios públicos salvo que resulte imprescindiblepara la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón dela ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datosinnecesario para la finalidad perseguida».

o Això no obstant, l’AEPD, en alguna de les seves resolucions (ExpedientE/00691/2006) i en determinats informes jurídics, ha fet l’observació següent:«El tratamiento de datos personales ( a r t . 6 d e l a L O P D ) consistenteen la captación y grabación de personas en la vía pública debe contar, obien con el consentimiento de las personas grabadas (como se indica en el art.6.1 de la LOPD, caso en la práctica imposible) o bien con u n a l e y q u el e g i t i m e e l tratamiento ( a r t . 6 . 2 d e l a L O P D ) , c a s o d e l aL e y O r g á n i c a 4 / 1 9 9 7 , d e 4 d e agosto, por la que se regula laUtilización de Videocámaras por las Fuerzas y Cuerpos de Seguridad en LugaresPúblicos, o caso de la Ley 23/1992, de 30 de Julio, de Seguridad Privada, queconsidera la prestación del servicio privado de vigilancia y seguridad de bienes ypersonas (incluidos los sistemas de videovigilancia) como actividadcomplementaria y subordinada a las de seguridad pública, estableciendo comorequisitos formales, que la actividad se lleve a cabo por una empresa deseguridad privada inscrita a tal efecto en el Registro del Ministerio delInterior y comunicación al citado Ministerio del contrato de prestación dereferido servicio de seguridad».

• En cas que es visualitzin imatges en temps real (sense enregistrar-les), l’AEPDindica

que aquesta activitat «constituye un tratamiento de datos que obliga a informar

del

mismo, pero no genera ningún fichero», és a dir, cal mostrar els panellsinformatius, però no cal crear un fitxer.


11 Mesures, normes i procediments

3. Mesures, normes, procediments d'actuació, regles iestàndards encaminats a garantir el nivell de seguretat dels fitxers

Les normes que es descriuen al present apartat s’han d’aplicar ordinàriament a tots els fitxers declarats per la UIB, llevat que en algun dels següents punts se’n distingeixi el nivell.

En aquest cas, s’han d’aplicar les normes de nivell bàsic per als fitxers categoritzats com a bàsics, les normes de nivell bàsic i mitjà per als fitxers categoritzats com a mitjà i totes les normes, les de nivell bàsic, mitjà i alt, per als fitxers categoritzats com a alts.

De la mateixa manera, al llarg del document, s’indica quan les mesures s ó n e s p e c í f i q u e s p e r aplicar a fitxers informatitzats o automatitzats i a l s manuals o no automatitzats ( e n s u p o r t paper). En cas que no es faci cap indicació, les mesures s’han d’aplicar amb caràcter general, tant a fitxers automatitzats com no automatitzats, i amb independència del nivell de seguretat corresponent.

3.1. Resum

A continuació es mostra una taula resum de les mesures que cal adoptar en cada un dels fitxers en funció del nivell de classificació:

Nivell bàsic

Nivell mitjà

Nivell alt

Respo

nsable

Seguretat

— El responsable del fitxer ha de designar un o més responsables de seguretat (no és una delegació de responsabilitat) — El responsable de seguretat és l’encarregat de coordinar i controlar les mesures del document

Personal

— Funcions i obligacions dels diferents usuaris o dels perfils d’usuaris clarament definides i documentades. — Definició de les funcions de control i les autoritzacions delegades pel responsable — Difusió entre el personal de les normes que els afectin i de les conseqüències per incompliment

Incidències

— Registre d’incidències: tipus, moment de detecció de la incidència, persona que la notifica, efectes i mesures correctores — Procediment de notificació i gestió de les incidències

Només fitxters automatitzats— Anotar els procediments de recuperació, persona que l’executa, dades restaurades i, si escau, dades gravades manualment — Autorització del responsable del fitxer (o persona que delegui) per a la recuperació de dades



Nivell bàsic

Nivell mitjà

Nivell alt

Cont

rol d

'acc

és

— Relació actualitzada d’usuaris i accessos autoritzats — Control d’accessos permesos a cada usuari segons les funcions assignades — Mecanismes que evitin l’accés a dades o recursos amb drets distints dels autoritzats — Concessió de permisos d’accés només per a personal autoritzat — Les mateixes condicions per a personal aliè amb accés als recursos de dades

Només fitxers automatitzats— Control d’accés físic als locals on es troben ubicats els sistemes d’informació

Només fitxers automatitzats

— R e g i s t r e d ’ a c c e s s o s : u s u a r i , hora, fitxer, tipus d’accés, autoritzat o denegat — R e v i s i ó m e n s u a l d e l r e g i s t r e pel responsable de seguretat — Conservació: 2 anys Només fitxers no autoritzats— Control d’accessos autoritzats — Identificació d’accessos per a documents accessibles per a múltiples usuaris

Iden

tifi

caci

ó i

aute

ntic

ació

Només fitxers automatitzats— Identificació i autenticació personalitzada — Procediment d’assignació i distribució de contrasenyes — Emmagatzematge inintel·ligible de les contrasenyes — Periodicitat del canvi de contrasenyes (< 1 any)

Només fitxers automatitzats — Límit d’intents reiterats d’accés no autoritzat

Ges

tió

de s

upor

ts

— Inventari de suports — Identificació del tipus d’informació que contenen, o sistema d’etiquetatge — Accés restringit al lloc d’emmagatzematge — Autorització de les sortides de suports (incloses a través d’e-mail). — Mesures per al transport i l’eliminació de suports

Només fitxers automatitzats— Registre d’entrada i sortida de suports: document o suport, data, emissor/destinatari, nombre, tipus d’informació, forma d’enviament, responsable autoritzat per a recepció/lliurament

Només fitxers automatitzats— Sistema d’etiquetatge confidencial — Encriptació de dades en la distribució de suports — Encriptació d’informació en dispositius portàtils fora de les instal·lacions (cal evitar l’ús de dispositius que no permetin l’encriptació, o adoptar mesures alternatives)

Còpi

es d

e se

gura

tat

Només fitxers automatitzats— Còpia de seguretat setmanal — Procediments de generació de còpies de seguretat i recuperació de dades — Verificació semestral dels procediments — Reconstrucció de les dades a partir de la darrera còpia — Proves amb dades reals: còpia de seguretat i aplicació del nivell de seguretat corresponent

Només fitxers automatitzats— Còpia de seguretat i procediments de recuperació en lloc diferent d’on es trobin els equips

Crit

eris

d'

arxi

u

Només fitxers no automatitzats— L’arxiu dels documents s’ha de realitzar segons criteris que en facilitin la consulta i localització per garantir l’exercici dels drets ARCO

Emm

agat

zem

atge Només fitxers no automatitzats

— Dispositius d’emmagatzematge dotats de mecanismes que n’obstaculitzin l’obertura

Només fitxers no automatitzats

— Armaris, arxivadors…, de documents en àrees amb accés protegit amb portes amb clau



Nivell bàsic

Nivell mitjà

Nivell alt

Cus

tòdi

a de

su

port

s

Només fitxers no automatitzats— Durant la revisió o tramitació, la persona a càrrec dels documents ha de ser diligent i custodiar-los per evitar accessos no autoritzats

Còpi

a o

repr

oduc

ció Només fitxers no automatitzats

— Només en poden fer els usuaris autoritzats — Destrucció de còpies suprimides

Aud

itor

ia

— Almenys cada dos anys, interna o externa — S’ha de fer davant modificacions substancials en els sistemes d’informació amb repercussions en seguretat — Informe de detecció de deficiències i propostes correctores — Anàlisi del responsable de seguretat i conclusions al responsable del fitxer

Tele

com

unic

acio

ns

Només fitxers automatitzats— Transmissió de dades a través de xarxes electròniques encriptades

Tras

llat

do

cum

enta

ció

Només fitxers no automatitzats— Mesures que hi impedeixin l’accés o manipulació

- Els accessos a través de xarxes de telecomunicacions han de garantir un nivell de seguretatequivalent al dels accessos en mode local.

- L’execució de feines fora dels locals del responsable o de l’encarregat del tractament, l’autoritzaprèviament el responsable del fitxer i ha de garantir el nivell de seguretat.

- Els fitxers temporals han de complir el nivell de seguretat corresponent i s’han d’esborrar unavegada que hagin deixat de ser necessaris.

- L’accés facilitat a un encarregat de tractament ha de constar al Document de seguretat, i aquestapersona s’ha de comprometre a complir les mesures de seguretat previstes.



3.2. Normativa sobre els principis de protecció de dades

3.2.1. Qualitat de les dades5

Les dades personals que es recullen han de ser adequades, pertinents i no excessives en relació amb l’àmbit i la finalitat per a les quals s’hagin obtingut. Per tant:

• La recollida de dades no s’ha de fer per mitjans deslleials, fraudulents o e nf o r m a contrària a les disposicions de la normativa vigent.

• Les dades objecte de tractament no s’han d’utilitzar p e r a u n a finalitatdistinta d’aquella que n’hagi motivat l’obtenció.

• Les dades han de ser exactes, s’han d’actualitzar en cas que sigui necessari, i noméses poden alterar amb l’autorització expressa de l’afectat.

• Les dades que siguin inexactes o incompletes, el responsable del fitxer les ha desuprimir o, si escau, completar quan tingui coneixement de la inexactitud o delcaràcter incomplet de la informació de què es tracti, de manera que el contingutrespongui a la situació actual de l’afectat.

• No s’han de registrar a l a U n i v e r s i t a t dades l’origen o la qualitat de les qualsno estiguin garantits o si no les ha facilitades l’afectat a través dels contractes oformularis establerts per a la recollida de dades.

• Les dades s’han d’emmagatzemar de manera que permetin l ’ e x e r c i c i d e l sd r e t s d e l’afectat.

• Hom ha de cancel·lar l e s d a d e s d e c a r à c t e r p e r s o n a l q u a n d e i x i n d e s e rnecessàries o pertinents per a la finalitat per a la qual s’hagin recollit. Només espoden conservar en els casos en què els afectats hi hagin atorgat el consentiment.També es conservaran les dades si hi ha una llei que obligui a emmagatzemar-les.Aquestes dades no es poden conservar per períodes superiors als necessaris marcatsper l’esmentada normativa, i s’han d’arxivar en fitxers immobilitzats, que nos’utilitzaran amb cap altra finalitat.

3.2.2. Dret d’informació en la recollida de dades6 Quan es recullen dades personals, cal informar-ne p r è v i a m e n t e l s t i t u l a r s d e f o r m a e x p r e s s a i clara.

En el moment de recollir les dades de caràcter personal, hom notificarà a l’afectat:

• L’existència d’un fitxer amb les seves dades, la finalitat de la recollida de les dades iels destinataris de la informació.

• El caràcter obligatori o facultatiu de les respostes, així com les conseqüènciesd e l’obtenció de les dades o de la negativa a subministrar-les.

• La possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició d el e s seves dades.

• El responsable de les dades i l’adreça o n pot exercir el dret d’accés,rectificació, cancel·lació i supressió de les seves dades.

No es pot registrar cap dada de caràcter personal fins que no s’hagi atorgat a l’afectat el dret a la informació. En els casos de dades que provinguin de fonts accessibles al públic i amb la finalitat de publicitat, cada comunicat que s’enviï a l’afectat ha d’indicar el dret a la informació, i a més, s’ha d’indicar l’origen de les dades.

L’annex 7 recull models de llegenda per garantir el dret d’informació.

5 Article 4 de la LOPD i article 8 i següents del RDLOPD. 6 Article 5 de la LOPD i article 18 del RDLOPD.



3.2.3. Consentiment de l’afectat (exprés/tàcit)7 L’afectat és el vertader propietari de les dades personals i, per tant, ha d’atorgar el seu consentiment per al tractament.

S’ha de demanar el consentiment exprés per escrit quan es recu l l en dades sensibles, és a dir, aquelles que puguin afectar de forma determinant la intimitat de la persona (ideologia, creences, religió, origen racial, salut, vida sexual o derivats de violència de gènere).

En el cas de dades de menors, el consentiment ha de ser exprés i l ’ha d’atorgar el responsable legal del menor. No es poden registrar dades de menors sense el consentiment del responsable. En els casos en què sigui necessari el consentiment exprés, no es pot utilitzar cap formulari/contracte o similar sense la firma de l’afectat.

L’afectat pot revocar el seu consentiment en qualsevol moment. La revocació no té efectes retroactius ( l l e v a t d e n o r m a t i v a e n c o n t r a ) , p e r t a n t , e lt r a c t a m e n t a u t o m a t i t z a t d e l e s d a d e s personals de l’afectat realitzat amb anterioritat a la revocació del consentiment és vàlid.

L’annex 7 recull models de llegenda per obtenir el consentiment de l’afectat.

3.2.4. Dades especialment protegides Es consideren dades especialment protegides les dades d’ideologia, afiliació sindical, creences o religió. Aquestes dades sempre s ’ h a n d e r e c o l l i r a m b e l consentiment exprés (per escrit) d e l’afectat.

En cas que es consideri necessari emmagatzemar aquest tipus d’informació, s’ha de classificar com a tal i s’han d’establir els controls pertinents. En qualsevol cas, abans de la creació d’un fitxer d’aquest tipus, s’ha de consensuar amb el responsable de seguretat i/o amb la Secretaria General, que verificarà l’absència de normativa específica que prohibeixi la recopilació de les esmentades dades; sempre s’ha de demanar el consentiment exprés de l’afectat, i no es pot utilitzar cap dada personal fins que no es tingui el dit consentiment.

L’annex 7 recull models de llegenda per obtenir el consentiment de l’afectat perquè es recullin dades especialment protegides.

3.2.5 Dades de menors8 Es pot procedir al tractament de les dades dels més grans de catorze (14) anys a m b el seu consentiment, llevat d’aquells casos en què la Llei exigeixi per a la prestació l’assistència dels titulars de la pàtria potestat o tutela, i d’acord amb el que preveuen l’article 3 de la Llei orgànica 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge (BOE núm. 115, de 14 de maig), i l ’ a r t i c l e 1 6 2 d e l C o d i C i v i l . En el cas dels menors de catorze anys, es requereix el consentiment dels pares o tutors.

En cap cas no es poden recollir del menor, dades que permetin obtenir informació sobre els altres membres del grup familiar sense el consentiment dels titulars de les dades. No obstant això, es poden recollir les dades d’identitat i adreça d e l p a r e , l a m a r e o e l t u t o r a m b l’única finalitat de recollir l’autorització prevista a l’apartat anterior. Està prohibit utilitzar el menor per obtenir dades innecessàries sobre la resta de la família, com els ingressos, les preferències d’oci, etc.

Quan el tractament es refereix a dades de menors de edat, la informació dirigida a aquests s’ha d’expressar en un llenguatge que els sigui fàcilment comprensible.

7 Article 6 de la LOPD i article 12 i següents del RDLOPD. 8 Article 13 del RDLOPD.



3.2.6. Eliminació de dades obsoletes Periòdicament s’han d’eliminar les dades que hagin quedat obsoletes.

Es consideren dades obsoletes: • Les dades d’afectats amb els quals hagi acabat la relació contractual, llevat que hagi

estat prèviament atorgat el consentiment per al manteniment posterior, cas en què s’ha d’indicar la finalitat amb què es conserven.

• En els casos en què per motius legals s i g u i n e c e s s a r i mantenir-les, hom marcaràl e s dades com a eliminades i posteriorment les eliminarà, una vegada hagi expirat el termini establert per conservar-les.

• Les dades respecte a les quals hagi expirat el termini màxim peremmagatzemar-les establert per la llei (si n’hi ha).

• Aquelles respecte a les quals hagi acabat la finalitat per a la qual es varen recollir.

En les prestacions de servei e n q u è l a U n i v e r s i t a t d e l e s I l l e s B a l e a r s h a de lliurar dades de caràcter personal per a l’execució, s’ha d’incloure una clàusula al contracte en la qual s’indiqui que és obligatori eliminar les dades que s’hagin obtingut com a conseqüència d’una prestació de serveis, una vegada finalitzada a q u e s t a , llevat que contractualment s’autoritzi expressament mantenir-les, en previsió de futurs serveis.

3.2.7 Cessió de dades personals Les dades de caràcter personal objecte de tractament només es poden cedir per al compliment de fins directament relacionats a m b l e s f u n c i o n s l e g í t i m e s d e l c e d e n t id e l c e s s i o n a r i , a m b e l consentiment previ de l’afectat.

Si es preveu cedir les dades personals recollides, l’afectat ha de ser informat prèviament, durant la recollida de les dades, de la finalitat i d e l destinatari d e l a cessió. Això suposa que si el responsable del fitxer projecta cedir les dades personals recollides, ha d’informar l’afectat de la finalitat de la recollida, així com del destinatari de la cessió.

Mai no es poden cedir dades sense el consentiment de l’afectat. Aquest consentiment té caràcter revocable.

Quan la Universitat de les Illes Balears cedeixi dades de caràcter personal, el cessionari quedarà obligat contractualment a la protecció de les dades personals que li siguin cedides.

Només es poden compartir dades personals entre entitats jurídiques distintes si la relació està formalitzada per un contracte de prestació de serveis degudament formalitzat o si existeix alguna llei que ho autoritzi.

L’annex 7 recull models de llegenda per obtenir el consentiment de l’afectat per a la cessió de dades.

3.2.8. Finalitat dels fitxers Està prohibit utilitzar el fitxer per a una finalitat distinta de la que en un principi s’havia previst per a l’obtenció de les dades de caràcter personal. Davant un canvi de finalitat en el tractament de les dades, cal el consentiment de l’afectat.

3.3. Identificació i autenticació (fitxers automatitzats)

El responsable del fitxer aprovarà un mecanisme que permeti d’identificar de forma inequívoca i personalitzada tot usuari que intenti accedir al sistema d’informació i de verificar que hi està autoritzat.

El sistema que utilitza la Universitat per identificar i autenticar els usuaris autoritzats que accedeixin al sistema es detalla a l’annex 8.3.



3.4. Control d’accés

El sistema que utilitza la Universitat per limitar l’accés a les diferents àrees del sistema en funció dels privilegis de cada usuari, es detalla a l’annex 8.4.

3.5. Registre d’accés (fitxers automatitzats de nivell alt)9

• En els accessos a les dades dels fitxers de nivell alt, s’ha de registrar per cada accés laidentificació de l’usuari, la data i l’hora en què s’ha fet, el fitxer accedit, el tipusd’accés i si ha estat autoritzat o denegat.

• En cas que l’accés hagi estat autoritzat, es guarda la informació que permet identificarel registre a què s’ha accedit.

• Els mecanismes que permeten el registre de les dades detallades als paràgrafs anteriorsestan sota el control directe del responsable de seguretat i no es permet, en cap cas,desactivar-los.

• El responsable de seguretat revisarà, almenys una vegada al mes, la informacióde control registrada i elaborarà un informe en aquest aspecte.

• El període de conservació de les dades registrades és de dos anys.

3.6. Gestió de suports i documents10 La normativa que regeix la gestió de suports i document és a l’annex 8.6, que descriu

el procediment que cal seguir per a la gestió de suports a la Universitat.

3.7. Còpies de seguretat (fitxers automatitzats)

El Centre de Tecnologies de la Informació (CTI), que té atribuïdes les tasques d’administració dels sistemes d’informació de la Universitat, és l’organisme que s’encarrega de fer les còpies de seguretat en els sistemes que estan dins el seu àmbit d’actuació.

La normativa que regeix les còpies de seguretat (fitxers automatitzats) és a l’annex 8.5.

3.8. Incidències de seguretat

El present apartat defineix un conjunt de normes comunes que s’han de complir en la gestió d’incidències de seguretat de la Universitat de les Illes Balears.

3.8.1. Responsabilitats Tot empleat o col·laborador, en funció de les atribucions que t é c o n f e r i d e s , h a d e c o n è i x e r l e s accions o mesures a adoptar en cas de la identificació d’un incident.

Les responsabilitats relacionades amb la gestió d’incidències han d’estar degudament documentades, entre d’altres, per a cada una de les àrees següents:

• Usuaris• Personal de tecnologies de la informació i la comunicació (principalment personal

del Centre de Tecnologies de la Informació)• Responsable de seguretat• Responsable de fitxer

9 Article 103 del RDLOPD. 10 Articles 92, 97 i 101 del RDLOPD.



3.8.2. Notificació d’incidents de seguretat Qualsevol incidència de seguretat s ' h a d e notificar immediatament, d’acord amb els procediments de notificació establerts a l’annex 8.1 d’aquest document. La implantació de mesures correctores ha de ser aprovada i sol·licitada per personal autoritzat.

Tots els departaments o àrees afectades per un incident han de ser informats de la incidència i de les accions preses per resoldre-la. La possible notificació a terceres parts ha de ser aprovada prèviament p e l r e s p o n s a b l e d e s e g u r e t a t . L a i n f o r m a c i ó m a n e j a d a e n l a g e s t i ó i r e s o l u c i ó d e l’incident s’ha classificar degudament, d’acord amb el que estableixi la normativa de classificació i tractament d’informació.

Tot incident significatiu i persistent que pugui comprometre les dades de caràcter personal pel que fa a la confidencialitat (accés de persones no autoritzades), la integritat (que hagin estat modificades sense autorització, sigui de manera intencionada o fortuïta) o la disponibilitat (que o bé les dades o bé els sistemes que les suporten no estiguin disponibles quan hom preténaccedir-hi), s’ha de notificar immediatament.

A continuació s’indiquen alguns tipus d’incidents a tall d’exemple, i sense que la relació sigui exhaustiva:

• Accés no autoritzat: Tot intent d’accés no autoritzat, reeixit o no, o tota sospitad’accés no autoritzat.

• Identificació de codis maliciosos: A més de programació maliciosa en lesaplicacions, s’hi inclouen els virus, troians o cucs.

• Atacs d’interrupció de servei: Supòsits d’interrupció de servei (reeixits o no)que afectin o amenacin un servei crític o la disponibilitat d’accés a gran part de la xarxa.

• Escaneigs o proves: Escaneigs no autoritzats de les xarxes, proves o atacs de negacióde servei.

• Pèrdues d’integritat en els sistemes, bases de dades i xarxes.• Avaries en els sistemes d’informació.• Errors en els enviaments d’informació a l’hora de seleccionar-ne el destinatari.• Pèrdua de suports amb dades personals.

La notificació de l’incident implica documentar-lo de manera que es detalli el moment en què es produeix, la persona que el detecta, persona que efectua i persona que rep la notificació, els efectes o impacte i una breu descripció de l’incident.

D’acord amb les funcions del lloc de treball, tots els empleats han de ser informats dels procediments a seguir per a la notificació i la gestió d’incidents i dels canals de notificació. A l’annex 5.1 es detallen el següents apartats:

• Canals de comunicació• Actuacions en incidents amb importància

o Recopilació d’aspectes rellevants sobre l’entorn de l’incidento Avaluació inicial del grau de risco Resolució i investigació d’incidentso Estat de l’incident

• Registre d’incidents• Avaluació de la gestió de l’incident• Mesures de detecció d’incidents



3.9. Transmissions de dades a través de xarxes de comunicacions (fitxers automatitzats)

• És important tenir en compte que els correus electrònics que continguin dades decaràcter personal, o bé al cos del missatge o bé en fitxers adjunts, formen part de fitxersde dades de caràcter personal, i per tant és fonamental tenir en compte on quedaràemmagatzemat el correu després de l’enviament o de la recepció.

• Cal establir procediments de control de les empreses externes q u e e s connectinals sistemes d’informació d e l a U n i v e r s i t a t , q u e p r è v i a m e n t h a g i ne s t a t autoritzades pel responsable del fitxer o persona que delegui.

3.9.1. Fitxers de nivell alt • La transmissió de dades de caràcter personal a través de xarxes de telecomunicacions,

per correu electrònic o per sistemes de transferència de fitxers, s’ha de fer encriptant les dades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers, de manera que només la pugui llegir i interpretar el destinatari.11

• Per encriptar la informació es poden seguir diferents mètodes en funció de latecnologia i les aplicacions que tingui disponibles el destinatari de la informació:

o Utilitzar eines d’encriptació de tipus PGP, GPG, PointSec, etc.

o Acordar una política de contrasenyes per protejir els documents ambcontrasenya, o bé comprimir-los amb una eina de tipus ZIP, utilitzant tambécontrasenya. En aquest cas, la contrasenya amb la qual es protegeix eldocument s’ha d’intercanviar amb el destinatari por una via distintad’aquella a través de la qual s’envia la informació. És a dir, si s’envia através del correu electrònic, la contrasenya pot intercanviar-se mitjançant unmissatge de text al mòbil. Aquesta contrasenya ha de tenir una longitudmínima de 8 caràcters, incorporar números, lletres i almenys un caràcterespecial, i majúscules i minúscules.

• Qualsevol còpia de la informació transferida s’ha d’emmagatzemar encriptada.

3.10. Proves amb dades de caràcter personal (fitxers automatitzats)12

•

L’entorn d’explotació i e l d e proves i desenvolupament s ’ h a n d e m a n t e n i r t o t a l m e n t diferenciats. No es pot accedir, de manera directa, a explotació des de l’entorn de desenvolupament. En cas que sigui necessari accedir a l’entorn d’explotació, per part de desenvolupament, per realitzar tasques de manteniment o d’altre tipus, s’ha de tenir l’autorització del responsable del fitxer (o persona que delegui).

• Com a regla general, en els entorns de proves i desenvolupament les proves d e l sprogrames i processos s’han de fer utilitzant bases de dades i fitxers amb dades fictícies. No obstant això, es poden prendre dades d’explotació pe r f e r p roves , sempre que ho autoritzi el responsable del fitxer ( o p e r s o n a q u e d e l e g u i ) , a d o p t a n t l e s m e s u r e s d e seguretat següents:

o Limitar l’accés lògic i físic a a q u e s t e s d a d e s ,e x c l u s i v a m e n t , a l p e r s o n a l autoritzat al Document deseguretat.

o Fer-ne una còpia de seguretat abans de la realització de les proves.o Les dades reals provinents d’explotació s’han de sotmetre a un procés que

permeti la dissociació de les dades, de tal manera ques’impossibiliti l’associació de la informació obtinguda amb una persona.

o Si les dades no es dissocien, cal assegurar el nivell de seguretatcorresponent a la naturalesa de les dades que es manejaran.

• Una vegada fetes les proves, s’han d’esborrar les dades utilitzades.

11 Article 104 del RDLOPD. 12 Article 94.4 del RDLOPD.



3.11. Fitxers temporals13

• Els fitxers temporals o còpies de documents creats exclusivament per a feines temporals o auxiliars, han de complir el nivell de seguretat que els correspongui.

• Aquests fitxers es dipositen en un directori del servidor de xarxa, en una carpetad’accés restringit a un usuari o un grup concret d’usuaris.

• Una vegada que hagin deixat de ser necessaris per als fins que en motivaren la creació, elsha d’esborrar f í s i cament l ’usuar i que e l s va so l · l i c i ta r o l ’ admin is t rador de l s i s tema, a petició d’aquell.

• Aquests fitxers temporals no poden ser copiats en suports externs, ni es permetrà quesurtin fora dels locals on se’n fa el tractament, llevat d’autorització expressa i per escritdel responsable del fitxer o persona que delegui.

3.12. Accés a les dades per compte de tercers

• La informació interna de la Universitat de les Illes Balears ha d’estar protegida contra la difusió a terceres persones.

•

•

o Deure de secret i confidencialitat.o Prohibició de venda o cessió de les dades.o Tractament de les dades: s’ha d’especificar de forma clara i concisa la finalitat

per a la qual es lliuren les dades i el servei que hom prestarà.o Descripció de les mesures de seguretat que ha d ’adoptar l ’ empresa en

func ió del nivell de les dades necessàries per a la prestació del servei.o Obligació d’esborrar les dades q u a n n o s i g u i n n e c e s s à r i e s i q u a n

f i n a l i t z i l a relació contractual, llevat que el responsable del fitxer, enprevisió de futurs negocis, n’autoritzi expressament la conservació.

• L’annex 7.2 recull models d’acord de confidencialitat amb tercers.• En cas d’haver contractat la prestació de serveis per tercers per a determinats fitxers, a

l’annex 4 cal fer constar aquesta circumstància, tot indicant una referència al contracte i la vigència, així com als fitxers objecte del tractament.14

• En el cas específic de prestació de servei, ha de constar l’obligatorietat del prestatarid’acceptar auditories de seguretat per part de la Universitat.

• Els qui, por compte de tercers, prestin serveis de tractament automatitzat de dades decaràcter personal no poden aplicar o utilitzar les obtingudes amb finalitat distinta de la que figuri al contracte de serveis, ni cedir-les, ni tan sols per a la conservació, a altres persones.

•

• Una vegada complida la prestació contractual, les dades de caràcter personal tractadess’han de destruir, llevat que hi hagi autorització expressa d’aquell per compte del qual es presten els serveis, perquè raonablement hom presumeixi la possibilitat d’ulteriors encàrrecs i, en aquest cas, es podran emmagatzemar amb les degudes condicions deseguretat per un període de cinc anys.

13 Article 87 del RDLOPD. 14 Article 88.5 del RDLOPD.

En els contractes que se subscriguin entre la Universitat i empreses prestadores de serveis i que suposin el lliurament de dades de caràcter personal s’hi han d’incloure clàusules relatives a:

Només es pot permetre l’accés a la informació interna de la Universitat quan hi hagi una necessitat de coneixement demostrable, quan ho exigeixi un procés administratiu o penal, quan s’hagi signat un acord de confidencialitat o quan hagi estat autoritzat expressament pel responsable del fitxer.

En cas de pèrdua o revelació d’informació sensible a persones no autoritzades o sospita d’aquestes accions, cal notificar-ho immediatament al responsable de la informació o el responsable de seguretat de la Universitat.



3.13. Règim de treball fora dels locals de la ubicació del fitxer15

• Si les dades personals s’han d’emmagatzemar en dispositius portàtils o tractar foradels locals de la Universitat o de l’encarregat de tractament, hi ha d’haveruna autorització prèvia del responsable del fitxer.

• En tot cas cal garantir el nivell de seguretat corresponent al tipus de fitxer tractat.

3.14. Auditoria (fitxers de nivell mitjà i alt)16

• Hom procedirà a la realització formal d’una auditoria interna o externa cada dosanys sobre els sistemes d’informació i sobre les instal·lacions.

• Amb caràcter extraordinari, cal realitzar l’auditoria sempre que es facinmodificacions substancials en el sistema d’informació que puguin repercutir en elcompliment de les mesures de seguretat implantades, amb l’objecte de verificar-nel’adaptació, l’adequació i l’eficàcia. Aquesta auditoria inicia el còmput de dos anysassenyalat al paràgraf anterior.

•

o

o

o

• L’informe s e r à analitzat pel responsable de seguretat, que traslladarà l e ss e v e s conclusions a l responsable de fitxer perquè adopt i l es mesures cor rectores adequades . L’esmentat informe està a disposició de l’Agència de Protecció de Dades si el demana.

15 Article 86 del RDLOPD. 16 Articles 96 i 110 del RDLOPD.

El resultat de l’auditoria estarà documentat en un «Informe d’Auditoria», quetindrà en compte, almenys, els aspectes següents:

Grau d’adequació de les mesures, els procediments i els principis establerts en aquest document pel que fa al Reial decret 1720/2007 (RDLOPD). Identificació de deficiències i proposició de mesures correctores o complementàries necessàries.Dades, fets i observacions en què es basen els dictàmens i les recomanacions proposades.



3.15. Control del Document de seguretat

Es distingeixen dues fases de control del Document de seguretat:

3.15.1. Revisió

El Document de seguretat es revisarà almenys una vegada l’any, o sempre que es produeixin les situacions següents:17

• Que apareguin nous fitxers• Que hi hagi canvis rellevants en els sistemes d’informació o en els sistemes de

tractament utilitzats• Que hi hagi canvis organitzatius que afectin la seguretat dels fitxers• Que hi hagi canvis en el contingut de la informació inclosa als fitxers o tractaments• Que hi hagi canvis a les normatives o els procediments de la Universitat• Que hagin sorgit canvis en la legislació vigent• Que apareguin nous escenaris de riscs que no s’haguessin previst fins al moment• Que es produeixin canvis tecnològics significatius a la plataforma de sistemes o

les xarxes de comunicació• Qualsevol altra situació no prevista que afecti la seguretat dels fitxers

El Document de Seguretat resultant serà revisat pels responsables de fitxer, pel responsable de seguretat i pel Comitè de Seguretat. En el p rocés h i pot par t i c ipa r qua l sevo l a l t re responsab le o tècnic que faci falta per qüestions tècniques o administratives.

3.15.2. Aprovació

El Document de seguretat ha de passar una aprovació preliminar del Comitè de Seguretat, prèvia a l’aprovació definitiva del Consell de Direcció.

Les modificacions del Document de seguretat han de passar una aprovació preliminar del Comitè de Seguretat, prèvia a l’aprovació definitiva del Consell de Direcció.

3.16. Controls periòdics de verificació del compliment

L’annex 8.8 recull els controls que ha d’establir i revisar el responsable de seguretat amb la finalitat de verificar que es compleixin correctament les mesures establertes al RDLOPD, per als nivells bàsic, mitjà i alt de seguretat.

17 Article 88.7 del RDLOPD.

de dades de caràcter personal (lopd) - seu.uib.cat · compliment de la llei orgànica 15/1999, de...

Documents