Acuerdo de 21 de diciembre de 2007, del Consejo de Gobierno de la Universidad de Oviedo, por el que se aprueba el Código de Buenas Prácticas para la protección de datos de la Universidad de Oviedo.

• Sección: I - Principado de Asturias
• Emisor: Universidad de Oviedo
• Rango de Ley: Acuerdo

Preámbulo

La protección de los datos personales es una realidad jurídica y organizativa novedosa que ha irrumpido en las sociedades democráticas avanzadas con vigor y urgencia. Es más, un índice del grado de modernidad y avance de dichas sociedades democráticas es el nivel de protección que su sistema jurídico-institucional dispensa a los datos personales de los ciudadanos. La razón de que así sea ha sido el vertiginoso e ingente desarrollo de las comunicaciones y las nuevas tecnologías a ellas asociadas, que han transformado el ser humano, en buena medida, en información. Hoy más que nunca, y ese parece ser el horizonte hacia el que se abren camino las sociedades actuales, la persona se ha reducido a un cúmulo de informaciones que fluyen de ella al exterior y del exterior a ella. Esta “objetivación” del ser humano conlleva el riesgo de que el uso de la información relativa a la persona condicione su desarrollo personal hasta el punto de que su perfil individual venga dado por el modo en que otros obtienen y usan la información a ella referida sin que, en muchas ocasiones, conozca la existencia de estas perfilaciones ni de sus consecuencias.

Derechos fundamentales clásicos como el de la intimidad personal y familiar han sido releídos a la luz de este nuevo fenómeno. Y la necesaria protección que se debe dispensar al flujo de informaciones relativas a cada cual se ha elevado a la condición de derecho fundamental recogido en los textos jurídicos de más alto rango, como la Carta Europea de Derechos, o reconocido por la jurisprudencia de los Tribunales Constitucionales, como el caso español con sus Sentencias 290 y 292 del año 2000. Un derecho fundamental cuya esencia consiste en otorgar a la persona un poder de disposición pleno sobre el uso y destino de la información relativa a ella; en fin, un poder de control sobre el flujo de sus datos personales.

Esta nueva circunstancia ha exigido la creación de instrumentos jurídicos de tutela (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal, en adelante, LOPD, y su normativa de desarrollo) y también el diseño de un entramado institucional (las Agencias estatal y autonómicas de protección de datos) que debe complementarse con la implantación de sistemas de protección de datos en aquellas organizaciones, privadas o públicas, en las que, de una u otra forma, se conocen y usan datos personales.

En este sentido, la LOPD dispone, por una parte, en su artículo 9, la obligación de las personas físicas o jurídicas, de naturaleza pública o privada, que deciden sobre la finalidad, contenido y uso del tratamiento de los datos personales de adoptar las medidas de índole técnica y organizativas que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Y, por otra, con carácter potestativo, el artículo 32 permite adoptar códigos de conducta que establezcan las condiciones de organización, el régimen de funcionamiento, los procedimientos aplicables, las normas de seguridad del entorno, los programas o equipos, las obligaciones de los implicados en el tratamiento y el uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto de los principios y disposiciones de la Ley y sus normas de desarrollo.

La Universidad de Oviedo ha resuelto promulgar un Código de Buenas Prácticas que contenga el conjunto de normas que ordenen el Sistema de Protección de Datos de la Institución. A través de este instrumento, se logrará establecer el detalle de la adaptación e incorporación al funcionamiento de la Universidad de Oviedo de las reglas legales vigentes en la materia, ordenando el sistema y adaptando sus procedimientos internos a sus exigencias.

A tal fin dicha normativa debe establecer un glosario de términos que ayuden a su comprensión, los principios generales del Sistema, que serán expresión de los de Calidad de los Datos previstos en la normativa internacional, europea y española; el procedimiento de creación, modificación y supresión de ficheros; los protocolos de información al interesado y de obtención de su consentimiento para el tratamiento de sus datos personales; las reglas de circulación interna de los datos y de su cesión a terceros; el ejercicio de los derechos de los interesados ante la Universidad; el sistema de seguridad y los deberes de confidencialidad; el cuadro de mando que dirige, supervisa y aplica el Sistema; y, finalmente, un anexo con los ficheros actualmente existentes en la Institución debidamente descritos.

TÍTULO I

DISPOSICIONES GENERALES

1. —Objeto

   El presente Código tiene por objeto el establecimiento de las buenas prácticas del sistema de protección de datos de la Universidad de Oviedo.

   Se entiende por sistema de protección de datos el conjunto de principios y normas que tienen por fin establecer de forma ordenada y normada los procedimientos, protocolos, medidas de seguridad e instrumentos para la tutela y garantía del derecho fundamental a la protección de datos personales en su recogida y uso por la Universidad de Oviedo.

2. —Ámbito

   El presente Código de conducta será de aplicación a todos los ficheros, físicos o digitalizados, que contengan información ordenada y sistematizada concerniente a personas físicas, creados o gestionados por la Universidad de Oviedo o sus miembros, para el cumplimiento de sus fines y ejercicio de sus competencias.

3. —Definiciones

   1. Datos de carácter personal: toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada.

   2. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

   3. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

   4. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.

   5. Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

   6. Procedimiento de disociación: todo tratamiento de datos personales de modoque la información que se obtenga no pueda asociarse a persona identificada o identificable.

   7. Bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento.

   8. Sistemas de información: conjunto de ficheros, programas, soportes y equipos empleados para el tratamiento de datos de carácter personal.

   9. Usuario: sujeto o proceso autorizado para acceder a datos o recursos.

   10. Recurso: cualquier parte componente de un sistema de información.

   11. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.

   12. Identificación: procedimiento de reconocimiento de la identidad de un usuario.

   13. Autenticación: procedimiento de comprobación de la identidad de un usuario.

   14. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

       ñ) Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

   15. Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden escribir, imprimir, grabar o recuperar datos.

   16. Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

4. —Finalidades de los tratamientos

   4.1. La Universidad de Oviedo sólo tratará aquellos datos personales estrictamente necesarios e imprescindibles para el ejercicio de sus competencias, reguladas en el artículo 1 Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (modificada por la Ley Orgánica 4/2007, de 12 de abril):

   1. La creación, desarrollo, transmisión y crítica de la ciencia, de la técnica y de la cultura.

   2. La preparación para el ejercicio de actividades profesionales que exijan la aplicación de conocimientos y métodos científicos y para la creación artística.

   3. La difusión, la valorización y la transferencia del conocimiento al servicio de la cultura, de la calidad de la vida, y del desarrollo económico.

   4. La difusión del conocimiento y la cultura a través de la extensión universitaria y la formación a lo largo de toda la vida.

   4.2. También podrán ser tratados para realizar encuestas de opinión y calidad de los servicios prestados por la Universidad de Oviedo y para prestar servicios a los miembros de la Comunidad universitaria asturiana ligados a sus funciones legales.

   4.3. Los datos personales sólo podrán ser tratados, y en su caso cedidos, cuando sea necesario e imprescindible para cumplir con las funciones enumeradas en el...