BOLETÍN Nº 36 - 21 de febrero de 2019

1. Comunidad Foral de Navarra

1.7. Otros

RESOLUCIÓN 162/2019, de 31 de enero, del Rector de la Universidad Pública de Navarra, por la que se ordena publicar el “Acuerdo por el que se aprueba la Política de Protección de Datos de la Universidad Pública de Navarra” adoptado por acuerdo del Consejo de Gobierno de 31 de enero de 2019.

En uso de las competencias que me han sido conferidas por el artículo 40 de los Estatutos de la Universidad aprobados por Decreto Foral 110/2003 de 12 de mayo, se ordena la publicación del acuerdo del Consejo de Gobierno de 31 de enero de 2019 por el que se aprueba el “Acuerdo por el que se aprueba la Política de Protección de Datos de la Universidad Pública de Navarra”.

“ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE PROTECCIÓN DE DATOS

La aplicación del Reglamento General de Protección de Datos y de la nueva Ley Orgánica de Protección de Datos exige a las entidades públicas la adopción de cautelas exigentes. La Universidad debe gestionar los riegos asociados a los tratamientos de datos que precisan sus funciones de investigación, gestión académica o extensión universitaria.

En consecuencia, se propone la aprobación de una Política de Protección de Datos como base de la reglamentación, las instrucciones y la actividad administrativa que la Universidad debe implementar para dar cumplimiento a la nueva normativa de protección de datos.

El Consejo de Gobierno de la Universidad Pública de Navarra, en sesión celebrada el día 31 de enero de 2019, adopta, a propuesta del Rector, el siguiente

ACUERDO:

Primero.–Aprobar la Política de Protección de Datos de la UPNA, que consta como anexo al presente acuerdo.

Segundo.–Ordenar la publicación de este acuerdo y su anexo en la página web de la Universidad y en el Boletín Oficial de Navarra.

Tercero.–Frente al presente Acuerdo podrá interponerse recurso contencioso administrativo en el plazo de dos meses contados a partir del día siguiente a su publicación en el Boletín Oficial de Navarra, conforme a las disposiciones establecidas en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.”

Pamplona, 31 de enero de 2019.–El Rector, Alfonso Carlosena.

ANEXO

Política de Protección de Datos
de la Universidad Pública de Navarra

Introducción.

La aplicación del Reglamento General de Protección de Datos y de la nueva Ley Orgánica de Protección de Datos exige a las entidades públicas la adopción de nuevas cautelas en este ámbito. Esta Política se concibe como la base de la normativa, las instrucciones y la actividad administrativa que la Universidad debe implementar para dar cumplimiento a la normativa estatal y comunitaria de protección de datos.

La Universidad debe gestionar los riegos asociados a los tratamientos de datos que precisa en sus funciones de investigación, gestión académica, administración u otros servicios de extensión universitaria. En constante revolución tecnológica y digital, la lógica de la protección de datos debe ser conjugada con las correspondientes a la seguridad de la información, la transparencia administrativa y otras áreas con implicación en esta materia.

La Universidad debe afrontar este reto de forma transversal, implicando a toda la Comunidad Universidad y, cuando proceda, a los sujetos y entes que se relacionen con ella. La transversalidad exige igualmente la asignación de roles correspondientes, entendiendo que no puede encomendarse la protección de datos aisladamente a una unidad o agente concreto.

Por todo ello, el Consejo de Gobierno de la Universidad Pública acuerda la aprobación de la presente Política de Protección de Datos, conforme a los siguientes puntos.

1. Referencia normativa.

La Universidad Pública de Navarra debe someterse en sus actividades de tratamiento de datos a las prescripciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) a así como a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Ley Orgánica de Protección de Datos).

2. Objeto y alcance.

La Política de Protección de Datos de la Universidad Pública de Navarra se aplicará todos los tratamientos de datos en los que la UPNA ostente la condición de Responsable, Corresponsable o Encargado de Tratamiento, según las definiciones previstas en esta Política.

Asimismo se aplicará a todas aquellas actividades con incidencia sobre la protección de datos personales que la Universidad promueva, gestione o participe como institución a través de su propio personal o mediante convenio, contrato, encomienda o colaboración de otra naturaleza.

3. Finalidad.

La Política de Protección de Datos de la Universidad Pública de Navarra promueve la aplicación de la normativa vigente en materia de protección de datos. Esta política debe cumplirse por parte de toda la Comunidad Universitaria, así como por las personas o entidades que interactúen con esta Universidad.

4. Transversalidad y compromiso de la Comunidad Universitaria.

El carácter definitorio de esta política es su transversalidad, proyectándose sobre todas las instancias de la Universidad en todos sus fines de extensión universitaria.

El carácter transversal de esta política exige la asignación de roles entre los diferentes agentes de la Comunidad Universitaria, definiendo su grado de compromiso en la ejecución de la política de protección de datos. De este modo, se detallan igualmente sus funciones en lo relativo al cumplimiento de la normativa de protección de datos.

5. Responsable y encargado del tratamiento.

La condición de responsable y la de encargado de los tratamientos que afecten a la Universidad serán definidas conforme al Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos.

Ambas condiciones serán atribuidas, según corresponda en cada caso, a la Universidad Pública de Navarra como entidad con personalidad jurídica propia.

6. Responsable de tratamiento.

La Universidad Pública de Navarra será identificada como responsable respecto de aquellos tratamientos cuyos fines y medios sean determinados por esta misma Universidad.

La Universidad Pública de Navarra podrá ser identificada como corresponsable respecto de aquellos tratamientos cuyos fines y medios sean determinados por esta Universidad en concurso con otra persona o entidad, ya sea en virtud de convenio u otra fórmula procedente.

7. Encargado de tratamiento.

Cuando la Universidad Pública de Navarra sea Responsable, la condición de Encargado de Tratamiento será atribuible a la persona o entidad que, en su caso, trate los datos personales por cuenta de la Universidad Pública de Navarra.

La Universidad Pública de Navarra también podrá ostentar la condición de Encargado de Tratamiento cuanto trate datos por cuenta de un Responsable.

La condición de Encargado debe constar en los actos que formalicen o resulten del tratamiento, atribuyéndose tal condición a la Universidad o entidad correspondiente.

8. Delegado de protección de datos.

El Delegado de Protección de Datos es la persona que ocupa el puesto determinado en la Relación de Puestos de Trabajo de la Universidad Pública de Navarra.

Las funciones del Delegado de Protección de Datos son las atribuibles en correspondencia con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos.

El Delegado de Protección de Datos ostenta una posición independiente y queda vinculado exclusiva y directamente al Rector de la Universidad Pública de Navarra.

Esta posición garantiza la independencia en el ejercicio de sus funciones, debiendo documentar y trasladar al Rector el reporte de cualquier eventual injerencia.

9. Funciones del Consejo de Gobierno.

1. Corresponde al Consejo de Gobierno la aprobación y revisión de la presente política así como de la normativa de protección de datos de esta universidad.

2. Este órgano será periódicamente informado de la aplicación de la Política y de la Normativa de protección de Datos y, en todo caso, cuando así lo determine el Rector o lo solicite el Delegado de Protección de Datos.

10. Funciones del Rector.

1. El Rector propone al Consejo de Gobierno la aprobación de la Política de Protección de Datos.

2. Es responsable de hacerla cumplir con el asesoramiento del Delegado de Protección de Datos.

3. Para hacerla cumplir podrá emitir directrices, órdenes, instrucciones o requerimientos que podrán ser comunicados a destinarios concretos o publicados través de los medios electrónicos propios de la Universidad Pública de Navarra.

11. Funciones de Gerencia.

1. La Gerencia es el órgano responsable de la aprobación del Registro de Actividades de Tratamiento, a propuesta del Delegado de Protección de Datos.

2. Le corresponderá igualmente instruir la operativa de las distintas actividades de tratamiento, salvo las relativas al Registro y Archivo, que será competencia de Secretaría General.

3. El titular de Gerencia formalizará el registro y las instrucciones mediante las resoluciones correspondientes.

12. Funciones de Secretaría General.

1. Corresponde a la Secretaría General la propuesta de la Normativa de Protección de Datos de la Universidad Pública de Navarra, previa elaboración por el Delegado de Protección de Datos.

2. El titular de la Secretaría General complementará esta normativa mediante la aprobación de diversas instrucciones a fin de garantizar la efectiva implementación y correcta interpretación de esta normativa. Estas instrucciones se formalizarán en las oportunas resoluciones.

3. La instrucción de la operativa de las actividades de tratamiento concernientes al Archivo y Registro de la Universidad corresponderá igualmente al titular de la Secretaría General mediante resolución.

4. El titular de la Secretaría General aprobará guías de cláusulas tipo o catálogos de modelos de formularios sobre protección de datos, a propuesta del Delegado de Protección de Datos, para su uso por las distintas unidades administrativas y los empleados adscritos a las mismas.

13. Coordinación con la seguridad de la información.

La Política de Protección de Datos será objeto de coordinación con la Política de Seguridad de la Información de la Universidad Pública.

El Delegado de Protección de Datos asiste al Comité de Seguridad de la Información y se le encomienda coordinar la Protección de Datos con la Política de Seguridad de la Información.

14. Funciones de los vicerrectorados.

1. Corresponde a cada vicerrector garantizar, en cada vicerrectorado, el cumplimiento de la Política y la Normativa de Protección de Datos, conforme a sus prescripciones así como a las directrices del Rector y las instrucciones de Secretaría General y Gerencia.

2. Los vicerrectores podrán instar o informar las actuaciones de Rectorado, Secretaría General y Gerencia en lo concerniente a cada vicerrectorado.

3. Asimismo podrán expedir instrucciones sectoriales o circulares complementarias conforme a lo previamente instruido por Rectorado, Secretaría y Gerencia.

15. Funciones de las unidades administrativas.

1. Cada unidad administrativa debe aplicar la política y normativa de protección de datos en su correspondiente ámbito funcional.

2. Los titulares de las unidades coordinarán las actuaciones del personal adscrito a las mismas para lograr el cumplimiento de lo prescrito en la política y normativa que resulten aplicables. Este deber de coordinación no eximirá a cada empleado de su propia responsabilidad individual.

3. Toda unidad debe mantener perfectamente identificados y caracterizados los tratamientos de datos objeto de su actividad.

4. Los responsables de cada unidad y el resto del personal emplearán las cláusulas, formularios y protocolos establecidos en la Universidad para preservar la protección de los datos a tratar.

16. Obligaciones del profesorado y del personal de administración y servicios empleados.

Todo el personal de la Universidad debe conocer la Política y Normativa de protección de datos para cumplirla en sus funciones de docencia, investigación, administración y servicios. Debe reflejarse ese cumplimiento también cuando interactúen con terceros en su condición de empleados.

17. Estudiantes.

La Universidad deberá implicar a los estudiantes en el cumplimiento de la política y la normativa de protección de datos. Esta implicación exigirá concienciación sobre el valor de sus datos personales y la necesidad de evitar riegos para sus propios datos o los de otras personas.

18. Resto comunidad universitaria.

Cualquier persona que, en virtud de condición distinta a la de estudiante o empleado, forme parte de la Comunidad Universitaria acatará la normativa y política de protección de datos.

19. Terceros o entes vinculados.

La interacción de personas o entidades con la Universidad Pública de Navarra exigirá la asunción de su política y normativa de protección de datos. La Universidad deberá trasladarles este deber de asunción, haciéndolo constar en el condicionado de convenios, contratos, encomiendas y convocatorias o advirtiéndolo como proceda en otros casos.

El término vinculado alude a la posición de un ente ligado a la Universidad por un contrato, convenio, encomienda u otra relación formalmente identificable.

20. Normativa de protección de datos.

La Universidad Pública de Navarra aprobará su propia normativa en materia de protección de datos, conforme a lo previsto en el punto 9.1

Esta Normativa deberá adecuarse a la regulación contenida en el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos así como al resto del ordenamiento aplicable en esta materia.

La Universidad aplicará la normativa vigente en cada momento, conforme a los principios de legalidad, jerarquía normativa, publicidad y seguridad jurídica.

21. Registro de actividades de tratamiento.

El Registro de Actividades de Tratamiento será aprobado por resolución de Gerencia a propuesta del Delegado de Protección de Datos.

Además de su valor legal, este registro se configura como herramienta operativa y de seguimiento en materia de tratamiento de datos. El registro constituirá una cartografía de las actividades de tratamiento gestionadas por la Universidad.

La elaboración del Registro de Actividades de Tratamiento exige la localización e identificación de las actividades de tratamiento por parte del Delegado de Protección de Datos. Estas operaciones requieren inexcusablemente la colaboración del personal vinculado a tales actividades, mediante la exhibición de ficheros, archivos, registros u otros tratamientos y el suministro de información sobre los mismos al Delegado de Protección de Datos.

La negativa u obstrucción por parte del personal conllevará su documentación por el Delegado de Protección de Datos para su posterior comunicación a Rectorado, Gerencia y Secretaría General. El referido personal será conminado por estas instancias al cumplimiento de sus obligaciones, pudiéndose adoptar adicionalmente las oportunas medidas correctoras.

22. Regulación de las actividades de tratamiento.

El Registro de Actividades de Tratamiento será soporte previo para la regulación de los distintos tratamientos. Este Registro servirá de fundamento para formalizar o actualizar la regulación de los tratamientos preexistentes y para regular todos aquellos que se generen.

La regulación particular de cada actividad de tratamiento ostentará la forma de Resolución de Gerencia, salvo el registro y archivo dependiente de Secretaría General que serán regulados por resolución de este último órgano.

Además de su carácter regulador, las citadas resoluciones cumplirán las exigencias de publicidad y comunicación o inscripción registral en la Autoridad de Control, actualmente la Agencia Española de Protección de Datos. El cumplimiento de tales exigencias se adecuará a lo requerido por la normativa vigente.

El carácter regulador de las resoluciones aludidas ofrecerá una descripción de cada tratamiento más detallada que la prevista en el Registro de Actividades de Tratamiento y preverá medidas o protocolos en la operativa de tales tratamientos.

La regulación de cada tratamiento requerirá un análisis de mayor profundidad al efectuado previamente con ocasión del Registro de Actividades de Tratamiento. Este análisis impone un deber de colaboración idéntico al previsto en los apartados 3 y 4 del artículo 20.

23. Aprobación de nuevas actividades de tratamiento.

Las actividades de tratamiento que se generen tras la aprobación inicial del Registro de Actividades de Tratamiento, deberán ser objeto de aprobación y regulación.

Estas actividades, una vez aprobadas y reguladas, serán objeto de incorporación al Registro de Actividades de Tratamiento. Esta incorporación conllevará la revisión de dicho registro. Su revisión procederá periódicamente mediante la incorporación de las nuevas actividades de tratamiento aprobadas anteriormente.

Asimismo deberá regularse el procedimiento para proponer la aprobación de nuevas actividades de tratamiento. La propuesta de aprobación de nuevas actividades de tratamiento requerirá que el sujeto o la unidad proponente especifiquen el origen de los datos a tratar y planteen medidas técnicas adecuadas, particularmente sobre anonimización o disociación.

Las nuevas actividades de tratamiento requerirán su previa aprobación por parte del Comité de Seguridad de la Información cuando afectándose a una pluralidad numerosa de personas exijan la toma de decisiones a nivel técnico (anonimización, disociación, nivel de granulación...).

Los tratamientos que, afectando a los datos de la mayoría de la Comunidad Universitaria, no prevean recabar consentimiento de cada interesado exigirán su aprobación por el Consejo de Gobierno de la Universidad y el correspondiente trámite de información pública.

24. Análisis de riesgos.

El Delegado de Protección de Datos efectuará un análisis de riegos en materia de protección de datos, diferenciado del correspondiente al de la Seguridad de la Información. Este análisis evaluará cómo inciden los distintos tratamientos de datos en los derechos de las personas afectadas por tales tratamientos.

La realización del análisis exigirá el conocimiento de los tratamientos objeto de evaluación. Ello implica contar un Registro de Actividades de Tratamiento y con una cierta ordenación de las actividades de tratamiento de esta Universidad. Asimismo, dichas actividades deben vincularse a la normativa sectorial de la Universidad y los procedimientos de cada sector, previo examen de dicha normativa y de los procedimientos que resulten identificables.

Las actividades de tratamiento así como sus normas reguladoras y los procedimientos que las sustancian serán objeto del mencionado análisis de riesgos, según el apartado 1 de este artículo.

Esta labor de análisis generará instrucciones de interpretación normativa y aplicación procedimental, así como recomendaciones de modificación de normas y procedimientos.

El conocimiento de las actividades de tratamiento y la correcta identificación de los procedimientos requerirá la necesaria colaboración de las instancias implicadas. De otro modo, el análisis de riesgos podría verse dificultado o incluso imposibilitado.

25. Cláusulas y formularios.

25.1. La Universidad deberá mantener unas cláusulas y formularios actualizados y adecuados en materia de protección de datos.

Las distintas unidades deberán contar con las referencias previstas en la guía y el catálogo descritos en el artículo 12.4 de esta Política. Estas referencias no ostentan carácter exhaustivo, debiendo emplearse en todo momento las cláusulas y los formularios que resulten oportunos.

Estas cláusulas y formularios deberán incluirse en convocatorias, resoluciones, pliegos contractuales u otra documentación administrativa. Asimismo la Universidad velará por su constancia en convenios y otros documentos multilaterales, así como en documentación de terceros cuya actividad afecte a datos tratados por esta Universidad.

26. Página web.

La página web deberá contener publicada la esencia de la presente política, así como referencias genéricas sobre la finalidad de los tratamientos previstos y el ejercicio de derechos por parte de los afectados.

El Delegado de Protección de Datos figurará en la web como punto de contacto.

La Universidad incorporará en la web información en materia de protección de datos, posibilitando un acceso transparente a la política, normativa y actuación en este ámbito.

Esta página deberá informar a los usuarios sobre la posible monitorización de los sistemas que estén utilizando o el eventual acceso a sus datos, facilitándose el ejercicio de sus derechos.

27. Extensión universitaria.

Los fines que justifican las distintas actividades de tratamiento responden a los diversos ámbitos de extensión universitaria. La normativa de cada ámbito es la base jurídica de cada tratamiento.

Disposición adicional primera.–Referencias en términos de género.

Las referencias deben entenderse sin distinción injustificada por razón de género.

Disposición adicional segunda.–Naturaleza de esta política.

Los preceptos de esta política que establezcan deberes de resultado o comportamiento ostentarán carácter obligatorio. Subsidiariamente esta política tendrá carácter programático.

Disposición adicional tercera.–Grados en Estudios Sanitarios.

El tratamiento de datos de carácter sanitario exige por parte de toda la institución universitaria el esfuerzo necesario para garantizar un nivel de protección adecuado para esos datos.

Disposición adicional cuarta.–Entrada en vigor.

Esta Política de Protección de Datos entrará en vigor el día de su publicación en el Boletín Oficial de Navarra.

Código del anuncio: F1902008