Instrucció del gerent de 17 de març del 2005

D'acord amb l'article 5 de la resolució de la rectora de 26 de juny del 2003 de mesures organitzatives sobre la protecció de dades de caràcter personal quan les dades personals contingudes als fitxers de la UPF hagin de ser tractades per un tercer, o tenir-hi accés per a la prestació d'un servei, cal assegurar-se que s'hagi establert el corresponent contracte.

L'article 12 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, estableix un contingut mínim per aquest tipus de contractes.

D'altra banda, d'acord amb la normativa vigent és necessari tenir constància dels accessos als fitxers per part de tercers i de la sortida de les dades fora de les dependències de la UPF.

És per això que es donen les instruccions següents:


Primer. Clàusules contractuals

1. Els contractes que regulin l'accés per part de tercers a les dades personals contingudes als fitxers de la UPF hauran de contenir, com a mínim, les clàusules següents:

"L'accés de [EMPRESA/INSTITUCIÓ] a les dades de caràcter personal que es pugui produir durant l'execució del contracte, es regirà per l'article 12 de l'LOPD i tindrà lloc amb la única finalitat de portar a terme [DESCRIPCIÓ DE L'OBJECTE].

[EMPRESA/INSTITUCIÓ] es compromet a realitzar el tractament de dades personals que pugui produir-se durant l'execució de l'esmentat contracte d'acord amb l'LOPD, així com aquelles altres normes que siguin d'aplicació, i observant les mesures de seguretat previstes al Reial Decret 994/1999, d'11 de juny, que aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal, amb les especificitats que puguin ser senyalades per la Universitat en el document de seguretat del fitxer i que hauran de ser comunicades pel Responsable de seguretat.

Com a encarregat del tractament, [EMPRESA/INSTITUCIÓ] es compromet a tractar les dades conforme a les instruccions de la Universitat, a no aplicar-les ni utilitzar-les amb finalitat diferent a la que figura en el present acord, ni a comunicar-les, ni tan sols per a la seva conservació, a terceres persones.

Mentre duri l'execució del contracte, la UPF podrà comprovar quines mesures de seguretat s'estan aplicant al tractament de les dades.
Una vegada complerta la prestació contractual, les dades de caràcter personal seran destruïdes o retornades a la Universitat, així com també qualsevol suport o document en els quals consti alguna dada de caràcter personal objecte del tractament. [EMPRESA/INSTITUCIÓ] es compromet a comunicar expressament a la UPF quin destí s'ha donat a les dades indicant la data en què s'ha produït.

[EMPRESA/INSTITUCIÓ] es compromet a respectar durant l'execució del contracte, així com també després de la seva finalització, el deure de confidencialitat respecte de les dades de caràcter personal a les quals tingui accés amb motiu de la realització de l'objecte del art. 12 LOPD

2. D'aquests contractes se n'haurà de trametre còpia al Responsable de Seguretat.

3. Si el contracte contempla la possibilitat que, per tal de complir el seu objecte, el tercer pugui, a la vegada, comunicar les dades, s'haurà de preveure la notificació prèvia a la UPF.

 

Segon. Tractament a les dependències de la UPF

1. Quan el tractament tingui lloc a les dependències de la UPF o bé, es contempli la possibilitat que el tercer accedeixi als fitxers a través de les xarxes de comunicacions, el contracte haurà de contemplar a quins fitxers o a quines dades afecta el tractament, que hauran de ser, en tot cas, aquells estrictament necessaris per al compliment del contracte.

2. El responsable intern del fitxer haurà de sol·licitar l'informe del Responsable de Seguretat, trametent-li a aquest efecte les dades que figuren en annex, en relació a la pertinença dels fitxers o dades als quals tindrà accés el tercer i a les mesures de seguretat que s'hagin d'adoptar en el tractament.

3. El Responsable de seguretat indicarà la relació d'accessos que hauran de quedar registrats i en quina forma.

4. El tractament s'haurà de portar a terme sota la supervisió del responsable intern del fitxer. Quan el tractament afecti als fitxers gestionats directament pel Servei de Gestió Acadèmica, la supervisió correspondrà al cap d'aquest servei.

5. La unitat que faci el seguiment del contracte serà la responsable de donar avís al Responsable de Seguretat, als efectes que en quedi constància, de l'acabament del tractament i de trametre-li còpia de la comunicació de l'empresa conforme no conserva en el seu poder cap suport ni document en els quals consti alguna dada de caràcter personal objecte del tractament.

 

Tercer. Tractament a fora de les dependències de la UPF

1. Si el tractament de les dades personals ha de tenir lloc a fora de les dependències de la UPF i s'ha de lliurar un fitxer amb dades personals, s'haurà de fer constar en el contracte, o en una comunicació posterior, la relació de les dades que es facilitaran i que hauran de ser, en tot cas, aquelles estrictament necessàries per al compliment del contracte.

2. El responsable intern del fitxer haurà de sol·licitar l'informe del Responsable de Seguretat, trametent-li a aquest efecte les dades que figuren en annex, en relació a la pertinença de les dades que s'han de lliurar i a les mesures de seguretat que s'hagin d'adoptar tant en la tramesa de les dades per part de la UPF com en el tractament per part del tercer.

3. L'elaboració d'aquest fitxer correspon al responsable intern del fitxer que n'haurà de conservar una còpia aplicant les mesures de seguretat que corresponguin d'acord amb la naturalesa de les dades que contingui. Quan el tractament afecti als fitxers gestionats directament pel Servei de Gestió Acadèmica, correspondrà al cap d'aquest servei.

4. Abans de realitzar la tramesa de les dades caldrà comptar amb l'autorització del gerent, com a responsable dels fitxers de la UPF.

5. Quan es lliurin les dades s'haurà d'informar al destinatari de les mesures de seguretat a adoptar, i que hagin estat indicades pel Responsable de Seguretat, i recordar-li que, finalitzada la prestació contractual, ha de comunicar quin destí ha donat a les dades.

6. Un cop lliurades les dades s'informarà al Responsable de seguretat per tal que en quedi constància.

7. La unitat que faci el seguiment del contracte o, en seu defecte, la persona que consti en l'autorització del gerent per a trametre les dades, serà la responsable de donar avís al Responsable de Seguretat, als efectes que en quedi constància, de l'acabament del tractament i de trametre-li còpia de la comunicació de l'empresa conforme ha destruït o retornat a la Universitat les dades de caràcter personal en el seu poder, així com també qualsevol suport o document en els quals consti alguna dada de caràcter personal objecte del tractament, indicant la data en què s'ha produït.

 

Quart. Contractes en vigor

1. En el termini de deu dies des de l'aprovació de la present instrucció, les diferents unitats administratives hauran de posar en coneixement del Responsable de Seguretat els contractes en vigor que contemplin l'accés per part de tercers als fitxers de la UPF que contenen dades de caràcter personal als efectes que se'ls apliqui, en allò que correspongui, el present procediment.


Pere Fons i Vilardell
Gerent


ANNEX - Informació que ha de contenir la sol·licitud d'informe adreçada al Responsable de Seguretat

  • Empresa o institució que farà el tractament de dades. 
  • Referència del contracte o conveni on es vincula el tractament o la possibilitat de fer-ho amb indicació de la data. 
  • Finalitat especifica del tractament pel qual es demana l'informe. 
  • Si el tractament té lloc a la UPF:
  • Fitxers o dades personals a les quals tindrà accés.
    • Indicar si el tercer tindrà accés als fitxers que contenen dades de caràcter personal a través de les xarxes de telecomunicacions.
  • Si el tractament té lloc fora de la UPF:
    • Relació detallada de les dades personals que es necessiten per a fer el tractament indicant, en cada cas, a quin fitxer o fitxers de dades personals pertany.
  • Justificació de perquè no s'envia un fitxer amb les dades disassociades.
  • Forma d'enviament (correu electrònic, correu ordinari, transmissió electrònica de fitxer ( ftp o similars) , "en mà", ...).
  • Format d'enviament. Paper o suport informàtic. 
  • Persona que farà el lliurament.
  • Persona i càrrec a qui es farà el lliurament.