Resolución de 26 de octubre de 2021 por la cual se regula el procedimiento de notificación y gestión de las violaciones de seguridad de los datos personales tratados por la Universidad Pompeu Fabra
El nuevo marco legal en materia de protección de datos personales establece unas medidas muy estrictas en relación con las violaciones de seguridad que puedan producirse en los tratamientos de datos personales que las organizaciones realizan.
Esta resolución actualiza la Resolución de 18 de enero de 2012 por la cual se regula el procedimiento de notificación, gestión y respuesta ante las incidencias de seguridad que afecten a los datos de carácter personal, adaptando su procedimiento a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos, y por el cual se deroga la Directiva 95/46/CE (en adelante, RGPD). Uno de los rasgos característicos del nuevo marco legal en materia de protección de datos es la necesidad de notificar a las autoridades de control (en el caso de la UPF, a la Autoridad Catalana de Protección de Datos) en un plazo de 72 horas las violaciones de seguridad que eventualmente puedan producirse, así como de comunicar a las personas interesadas las violaciones de seguridad que puedan suponer un alto riesgo para sus derechos y libertades.
De acuerdo con el artículo 73 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDGDD), el incumplimiento del deber de notificar a la autoridad de control competente o de comunicar a la persona afectada la violación de seguridad puede suponer la comisión de una infracción grave por parte de la Universidad.
A la vista de esta normativa, es necesario actualizar el procedimiento de notificación y gestión de las violaciones de seguridad que se puedan producir en la Universidad en relación con los tratamientos de datos personales que realiza.
Por ello, en uso de las competencias que me otorga el artículo 52 de los Estatutos de la Universidad Pompeu Fabra,
HE RESUELTO:
Artículo primero. Aprobar el procedimiento de notificación y gestión de las violaciones de seguridad de los datos personales tratados por la Universidad Pompeu Fabra, que consta en el anexo de esta resolución.
Artículo segundo. Autorizar al gerente para que adopte las medidas oportunas para desarrollar y ejecutar esta resolución.
Disposición derogatoria única
Se deroga la Resolución de 18 de enero de 2012 por la cual se regula el procedimiento de notificación, gestión y respuesta ante las incidencias de seguridad que afecten a los datos de carácter personal.
Disposición final única
Esta resolución entrará en vigor a partir del día siguiente de su publicación.
Oriol Amat i Salas
Rector
Barcelona, 26 de octubre de 2021
ANEXO
PROCEDIMIENTO DE NOTIFICACIÓN Y GESTIÓN DE LAS VIOLACIONES DE SEGURIDAD DE LOS DATOS PERSONALES TRATADOS POR LA UNIVERSIDAD POMPEU FABRA
Artículo 1. Objeto y ámbito de aplicación
1. El objeto de este procedimiento es establecer los mecanismos de notificación y gestión de las violaciones de seguridad que puedan producirse en los tratamientos de datos personales por parte de la Universidad. Se entiende por violación de seguridad de los datos personales cualquier situación que suponga la destrucción, pérdida, alteración accidental o ilícita, comunicación, acceso o publicación no autorizada de datos personales tratados por la Universidad Pompeu Fabra, tanto en calidad de responsable del tratamiento como encargada del tratamiento.
2. Este procedimiento es de aplicación a PDI, PAS, estudiantes, personal subcontratado por la UPF y cualquier persona que interactúe con la Universidad que tenga conocimiento de una violación de seguridad de los datos personales tratados por esta.
Artículo 2. Procedimiento de comunicación interna
Cualquier persona que tenga indicios de una posible violación de seguridad de los datos personales deberá comunicarlo de forma inmediata y sin dilación indebida al delegado de Protección de Datos de la Universidad mediante la dirección de correo electrónico [email protected].
La comunicación deberá contener:
a) Día y hora de la detección de la violación de seguridad y, si se conoce, momento en el cual empezó.
b) Descripción de la violación de seguridad con indicación, si es posible, del:
• Tipo de violación (eliminación o pérdida, alteración indebida, comunicación indebida, publicación, etc.).
• Alcance de la violación (número de personas afectadas, número de personas que han tenido acceso indebido a información, etc.).
• Tipo de datos afectados (datos identificativos, datos académicos, datos económicos, datos de salud, etc.). Si procece, medidas adoptadas o propuestas para evitar o minimizar los posibles daños.
Datos identificativos y de contacto de la persona que realiza la comunicación.
Cualquier otra información que se considere de utilidad para la gestión de la violación de seguridad.
Artículo 3. Comprovación de la comunicación interna
1. Inmediatamente después de recibir la comunicación de una posible violación de seguridad, el delegado de Protección de Datos deberá analizarla a fin de comprobar su existencia y su posible alcance.
2. Dado que existe un plazo únicamente de 72 horas entre la detección de una posible violación de seguridad y su notificación a las autoridades de control, las tareas de comprobación de una posible violación de seguridad tendrán que recibir el apoyo inmediato del resto de personal de la Universidad.
3. Si se confirmara la existencia de una violación de seguridad, el delegado de Protección de Datos avisará de forma inmediata al gerente y al jefe de servicio o unidad administrativa o investigador principal del grupo de investigación responsable de la gestión del tratamiento de datos personales afectados.
4. El delegado de Protección de Datos, junto con el jefe de servicio o unidad administrativa o investigador principal del grupo de investigación involucrado o persona en quien delegue, determinarán de forma conjunta el alcance de la situación y las propuestas de actuaciones a realizar para solucionar o mitigar
la violación de seguridad, así como para tratar de evitar que en el futuro vuelva a producirse.
5. Se podrá solicitar la colaboración del responsable de seguridad TIC si su intervención se considera necesaria en la ejecución de las tareas indicadas en el punto anterior.
Artículo 4. Notificación a la autoridad de control
1. Corresponde al gerente, en aplicación del artículo 2.i) de la Resolución del rector de 4 de diciembre de 2018 de medidas organizativas en el ámbito de la protección de datos de carácter personal en la UPF, notificar a la Autoridad Catalana de Protección de Datos (en adelante, APDCAT), de acuerdo con lo previsto en el artículo 33 del RGPD, las violaciones de seguridad de los datos personales responsabilidad de la Universidad Pompeu Fabra.
2. El delegado de Protección de Datos de la Universidad elaborará una propuesta de notificación dirigida a la APDCAT, que contendrá los elementos detallados en el artículo 33.3 del RGPD.
3. El delegado de Protección de Datos enviará la propuesta de notificación al gerente con tiempo suficiente para que este pueda revisarla, realizar modificaciones si lo estima oportuno y remitirla a la APDCAT dentro del plazo de 72 horas a partir de la detección de la violación de seguridad establecido por la legislación.
Artículo 5. Comunicación a los afectados
1. En caso de que una violación de seguridad de datos personales pueda comportar un alto riesgo para los derechos y libertades de las personas afectadas, la Universidad se lo comunicará sin dilación indebida.
2. No será necesario realizar esta comunicación cuando:
a. La Universidad haya adoptado medidas de protección técnicas y organizativas adecuadas a los datos personales afectados por la violación de seguridad, en especial las que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.
b. La Universidad haya tomado medidas posteriores que garanticen que ya no existe la posibilidad de que se materialice el alto riesgo para los derechos y libertades de los interesados.
3. Esta comunicación describirá la naturaleza de la violación, sus posibles consecuencias, las medidas adoptadas y las recomendaciones para que las personas puedan mitigar los potenciales efectos adversos.
4. Las personas afectadas podrán pedir que la Universidad las tenga informadas de la evolución de la violación de seguridad.
5. Corresponde al gerente, a la vista de la propuesta realizada por el delegado de Protección de Datos, decidir sobre la conveniencia o no de comunicar una violación de seguridad a las personas afectadas.
6. En caso de que el gerente considere conveniente comunicar una violación de seguridad a las personas afectadas, corresponde al delegado de Protección de Datos efectuar esta comunicación y realizar el seguimiento de la violación de seguridad.
7. Cuando la comunicación a las personas afectadas implique un esfuerzo desproporcionado, será necesario valorar la conveniencia de una comunicación pública o una medida equivalente, que informe a los interesados de manera igualmente efectiva.
Artículo 6. Seguimiento de las violaciones de seguridad notificadas
1. Corresponde al delegado de Protección de Datos realizar la interlocución con la APDCAT en relación con las notificaciones de violaciones de seguridad que la Universidad realice.
2. Corresponde al delegado de Protección de Datos realizar el seguimiento de las actuaciones que se haya determinado efectuar para resolver o minimizar los efectos de la violación de seguridad, así como para evitar que la situación se pueda reproducir en un futuro.
3. El delegado de Protección de Datos informará periódicamente al gerente y a los jefes de los servicios, unidades administrativas o investigadores principales de los grupos de investigación implicados en el tratamiento de la violación de seguridad hasta que esta se pueda dar por cerrada y se haya podido verificar la efectividad de las medidas adoptadas en consecuencia.
Artículo 7. Registros en relación con las violaciones de seguridad de protección de datos personales
1. Corresponde al delegado de Protección de Datos mantener un registro de las violaciones de seguridad en materia de protección de datos personales que la Universidad haya notificado a la APDCAT.
2. El registro de violaciones de seguridad debe contener:
a) Día y hora de conocimiento de los hechos.
b) Un código de identificación.
c) La tipificación de la violación de seguridad.
d) Día y hora de los hechos (si se conocen).
e) Un resumen del incidente.
f) La relación de hechos.
g) La relación de datos afectados.
h) La relación de personas afectadas.
i) Los posibles efectos sobre las personas afectadas.
j) Copia de la notificación a la APDCAT.
k) Análisis de la necesidad o no de comunicación a las personas afectadas.
l) En su caso, copia de la notificación a las personas afectadas.
m) Relación de medidas correctoras o mitigadoras llevadas a cabo.
n) Relación de medidas llevadas a cabo para evitar que la violación de seguridad se reproduzca.
o) Día y hora del cierre de la violación de seguridad.
3. Corresponde al delegado de Protección de Datos mantener también un registro de situaciones de riesgo, que contendrá información relativa a aquellos eventos que fueron notificados como posible violación de seguridad, pero que finalmente se descartaron.
4. El registro de situaciones de riesgo también contendrá información sobre situaciones en las que existió un riesgo significativo de materializarse una violación de seguridad, pero que gracias a las actuaciones emprendidas esta se evitó.
5. Al registro de violaciones de seguridad y al registro de situaciones de riesgo podrá acceder el equipo de dirección de la Universidad, en especial el gerente y el secretario general, así como las personas que estos puedan indicar.
Artículo 8. Encargos de tratamiento y corresponsabilidad en el tratamiento de datos personales
1. En caso de que se detecten indicios de una posible violación de seguridad en un tratamiento de datos personales llevado a cabo por la Universidad en calidad de encargada del tratamiento por cuenta de un tercero o como corresponsable del tratamiento junto con otros organismos, deberá notificarse la posible violación de seguridad al delegado de Protección de Datos de la Universidad, de acuerdo con lo establecido en el artículo 2 de esta resolución.
2. El delegado de Protección de Datos asesorará a los jefes de los servicios, unidades administrativas o investigadores principales de los grupos de investigación responsables de la gestión del encargo de tratamiento respecto de las actuaciones a realizar de acuerdo con la legislación vigente y lo establecido en el documento regulador del encargo de tratamiento o el acuerdo de corresponsabilidad.
3. En caso de que la Universidad encargue el tratamiento de datos personales a terceros, estos deberán notificar las posibles violaciones de seguridad a la Universidad de acuerdo con lo establecido en este procedimiento. La notificación a la APDCAT y, en su caso, la comunicación a las personas afectadas, la realizará la Universidad, salvo que en el encargo de tratamiento se establezca un procedimiento diferente.