Publicado en BOJA número 144 de 23 de julio de 2004.

EXPOSICIÓN DE MOTIVOS.

El profundo cambio normativo, junto con la potenciación del uso de los medios informáticos en la Universidad de Málaga y la preocupación por una correcta utilización de la información que garantice en todo caso el secreto de dicha información y el respeto a la intimidad de los ciudadanos, obliga a dictar unas normas que regulen el acceso a ficheros que contengan datos de carácter personal en el ámbito universitario, así como la utilización de la información contenida en los mismos y otros aspectos que garanticen la seguridad, que debe ser compatible con el uso adecuado de los citados ficheros para los fines fijados legalmente.

En su virtud se aprueban las siguientes normas:

TÍTULO PRELIMINAR. OBJETO Y ÁMBITO DE APLICACIÓN; DEFINICIONES.

Artículo 1. Objeto.

El presente Reglamento tiene por objeto regular en el ámbito de la Universidad de Málaga los sistemas, medios y procedimientos que permitan, de la manera más eficaz, la aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal en los aspectos que afectan a esta Administración Pública.

Artículo 2. Ámbito de aplicación.

Este Reglamento extiende su aplicación a los datos de carácter personal registrados en soportes físicos, que lo haga susceptible de tratamiento, y a toda modalidad de uso posterior de dichos datos en el ámbito y entorno de la Universidad de Málaga, con motivo de las actividades en las que intervenga en cumplimiento de sus funciones como Administración Pública.

Artículo 3. Definiciones.

A los efectos del presente Reglamento quedan expresados en su Anexo I el listado de definiciones, conceptos y términos contenidos en las Normas de Protección y Tratamiento de datos de Carácter Personal.

TÍTULO I. RECOGIDA DE DATOS DE CARÁCTER PERSONAL.

Artículo 4. Modo de recabar los datos.

La recogida de los datos de carácter personal en la Universidad de Málaga, se realizará para fines determinados, explícitos y legítimos, no pudiendo recogerse por medios fraudulentos, desleales o ilícitos.

Artículo 5. Calidad de los datos.

Los datos recabados deben ser adecuados, pertinentes y no excesivos en relación con la finalidad para la cual hayan sido recabados. Los datos recabados en la Universidad deberán servir a fines directamente relacionados con sus competencias y funciones.

Artículo 6. Información sobre el tratamiento.

1. Los formularios de recogida de datos deberán incluir la siguiente información:

  1. La existencia de un fichero automatizado con datos de carácter personal, la finalidad de la recogida de éstos y los destinatarios de la información.
  2. El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean planteadas.
  3. Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  4. La posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.
  5. La identidad y dirección del responsable del Fichero.

2. Sin perjuicio de las excepciones que respecto a la anterior información, se establece en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), la Universidad de Málaga informará siempre a los interesados de la posibilidad de ejercitar los derechos de acceso, rectificación o cancelación y del órgano ante el que se ejercitan tales derechos, tal y como se regulan en el Título II de esta normativa.

3. Si los datos se recaban de un tercero, el interesado deberá ser informado dentro de los tres meses siguientes a la recogida de los datos, de forma expresa, precisa e inequívoca, del contenido y finalidad del tratamiento, de la procedencia de los datos, de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección del responsable del Fichero.

4. Con el fin de acreditar en todo momento que el interesado fue debidamente informado de los extremos antes mencionados, la firma del interesado debe quedar reflejada en el impreso que contenga la nota informativa. En el Anexo II del presente Reglamento figura el texto informativo que debe ser insertado en todos los formularios de recogida de datos (salvo que el interesado ya haya sido informado con carácter previo) incluida la página web de automatrícula, todo ello sin perjuicio de lo establecido en el artículo 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

5. Deberá incluirse la nota informativa en impresos de matrícula académica de cualquier tipo, impresos de inscripción en servicios, contratos laborales o administrativos, pliegos de concursos para la provisión de plazas, recogida de datos de terceros, impresos para el reconocimiento de salud y cualquier otro formulario que suponga recabar datos de cuyo tratamiento no haya sido informado previamente el interesado.

Artículo 7. Consentimiento para el tratamiento.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado. No será preciso el consentimiento para el tratamiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Universidad de Málaga en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del Artículo 7, apartado 6, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección da Datos de Carácter Personal, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

2. El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

3. En los casos en los que no sea necesario el consentimiento del interesado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

4. Por lo que respecta a los datos de carácter personal relativos a la salud, éstos sólo podrán ser recabados y tratados automatizadamente cuando por razones de interés general así lo disponga una Ley, el interesado consienta expresamente, o bien cuando su obtención y tratamiento se realice para el correcto cumplimiento de la función de la Universidad de Málaga como Empresa Colaboradora en el sistema de la Seguridad Social.

5. Los profesionales de la Universidad de Málaga directamente relacionados con la salud de los trabajadores podrán tratar automatizadamente los datos de carácter personal relativos a la salud de las personas que a ellos acudan, de acuerdo con lo dispuesto en la normativa vigente en materia de sanidad y de protección de la salud y prevención de riesgos laborales.

6. El tratamiento de datos relativos a ideología, religión, creencias y afiliación sindical, requiere consentimiento expreso y por escrito del interesado. Los datos de carácter personal que se refieran a la vida sexual, salud u origen racial de las personas sólo serán recabados, tratados y cedidos cuando por razones de interés público así lo establezca una ley o el interesado consienta expresamente.

7. En el caso en que se recabasen datos relativos a la ideología, religión o creencias del interesado, éste será advertido de su derecho a no consentir el tratamiento de tales datos.

8. Las fórmulas de autorización para el tratamiento de datos figuran como Anexo III del presente Reglamento.

Artículo 8. Usos y finalidades del tratamiento.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos fueron recogidos. No se considerará incompatible el tratamiento posterior de los datos para fines históricos, estadísticos o científicos. Tal y como se establece en el artículo 6 anterior, el interesado deberá ser informado de la finalidad determinada, explícita y legítima del tratamiento.

Artículo 9. Conservación y cancelación de datos.

1. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, tal y como se define en el Título II de esta normativa, salvo que sean cancelados de acuerdo con lo previsto en la Ley.

Los plazos de conservación dependerán de la vinculación existente entre la Universidad de Málaga y el interesado, siendo conservados, con carácter general, mientras subsista la relación y una vez concluida como máximo, por los plazos siguientes:

  1. Cinco años para los datos de clientes, proveedores o suministradores.
  2. Permanentemente para los datos de estudiantes, empleados o ex-empleados.

Si los datos registrados resultaran inexactos, en todo o en parte, o incompletos, serán cancelados o sustituidos por los correspondientes datos rectificados o completados.

2. La cancelación de los datos se realizará de oficio por el Encargado Interno del Tratamiento, de acuerdo con lo dispuesto en el Anexo I, apartado II, al finalizar el plazo de conservación, o a instancia del interesado en ejercicio de su derecho de cancelación de acuerdo con el procedimiento establecido en el Título II de esta normativa. No procederá la cancelación de los datos cuando ello pudiese causar un perjuicio a intereses legítimos del interesado o de terceros, cuando existiese obligación legal de conservarlos, cuando exista una relación contractual, cuando sea preciso su mantenimiento para gestiones de pagos o cobros o para el adecuado ejercicio de las funciones propias de la Universidad de Málaga.

Artículo 10. Redacción y fórmulas de información y de autorización.

La redacción de las fórmulas informativas y de autorización relativas al tratamiento de datos de carácter personal corresponde al Gabinete Jurídico de la Universidad de Málaga. Con carácter previo al envío anual de los formularios a imprenta, éstos deberán ser sometidos a la revisión del Gabinete Jurídico a los efectos de comprobar la adecuación a derecho de las fórmulas de información y autorización que éstos contengan.

TÍTULO II. DERECHOS DE LOS INTERESADOS.

Artículo 11. Requisitos generales.

1. Capacidad. Los derechos de acceso, rectificación y cancelación de datos son personalísimos, y serán ejercidos únicamente por el interesado, por lo que para su ejercicio será necesario que el interesado acredite su identidad. Por esta razón no serán atendidas las solicitudes de ejercicio de estos derechos que se efectúen a través de tercero, o por el propio interesado por teléfono, correo electrónico o cualquier otro medio que no permita acreditar la identidad del interesado.

El interesado podrá actuar a través del representante legal cuando aquel se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal acredite tal condición. Sin perjuicio de lo anterior, los derechos antes mencionados podrán ejercerse por el interesado a través de representante apoderado específicamente para el ejercicio de los derechos mediante:

  1. Documento de apoderamiento original que derive directa e inequívocamente del interesado, titular del derecho, con la firma de éste último autenticada a través de medio autorizado en Derecho.
  2. Escritura pública de apoderamiento autorizada por un Notario Público.

2. Solicitudes. Los derechos de acceso, rectificación y cancelación se ejercerán mediante escrito dirigido al Ilmo. Sr. Secretario General de la Universidad de Málaga, y a través del Registro General de la Universidad o por cualesquiera de los medios previstos en el artículo 38.4 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

El anterior escrito contendrá las siguientes determinaciones y requisitos:

  1. Nombre, apellidos del interesado y fotocopia del documento nacional de identidad del interesado y, en los casos que se admita, de la persona que lo represente, así como el documento acreditativo de tal representación. La fotocopia del documento nacional de identidad podrá ser sustituida por copia de documento equivalente como miembro de la comunidad universitaria siempre que acredite su identidad conforme a Derecho.
  2. Petición en que se concreta la solicitud.
  3. Sistema de consulta del fichero elegido.
  4. Domicilio a efectos de notificaciones, fecha y firma del solicitante.
  5. Documentos acreditativos de la petición que formula, en su caso.

La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada.

El interesado deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud.

3. Contestación. La solicitud será contestada con independencia de que figuren o no datos personales del interesado en los ficheros de acuerdo con lo dispuesto a continuación, mediante notificación administrativa.

Artículo 12. Derecho de acceso.

1. Acceso a los datos. El interesado tiene derecho a solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros de la Universidad de Málaga. El interesado podrá ejercitar su acceso en intervalos no inferiores a doce meses, salvo que acreditase un interés legítimo.

2. Sistemas de consulta. Al ejercitar el derecho de acceso, el interesado podrá optar, al formular su solicitud, por uno o varios de los siguientes sistemas de consulta del fichero, siempre que la configuración o implantación material del fichero lo permita:

  1. Visualización en pantalla.
  2. Escrito, copia o fotocopia remitida por correo.
  3. Copia electrónica.
  4. Cualquier otro procedimiento que sea adecuado a la configuración o implantación material del fichero, ofrecido por el responsable del mismo. No obstante, la Universidad de Málaga podrá determinar el sistema de consulta cuando el solicitado por el interesado perturbe la normal prestación de los servicios de la Universidad de Málaga.

Deberá dejarse siempre constancia del ejercicio del derecho de acceso por parte del interesado. En el caso de las visualizaciones en pantalla, se guardará impresión de las pantallas consultadas firmadas por el interesado. Las comunicaciones deberán ser remitidas mediante notificación administrativa.

3. Plazo de contestación. La solicitud de acceso se resolverá en el plazo máximo de un mes a contar desde la recepción de la solicitud.

No obstante lo anterior, en el caso de que la solicitud de acceso no cumpla con los requisitos mencionados en el artículo 11 anterior, el Secretario General comunicará al interesado el defecto en su solicitud dentro del plazo de 10 días desde su recepción. En el caso de que el interesado subsanase los defectos de la solicitud, el plazo de un mes para contestar al derecho de acceso comenzará a partir del momento de la recepción de la solicitud conforme a los requisitos establecidos en el  citado artículo11 y así le será comunicado al interesado.

4. Ausencia de datos. En el caso de que no se disponga de datos de carácter personal de los interesados, tal circunstancia será comunicada al interesado en el plazo de un mes.

5. Contenido de la notificación. La información que la Universidad de Málaga proporcione al interesado, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso, y comprenderá todos los datos de base del interesado que sean accesibles, los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

En el caso de que los datos provengan de fuentes diversas, deberán especificarse las mismas identificando la información que proviene de cada una de ellas.

Artículo 13. Derechos de rectificación y cancelación.

1. Rectificación y cancelación de datos. Cuando el acceso a los ficheros revelare que los datos del interesado son inexactos o incompletos, inadecuados o excesivos, éste podrá solicitar la rectificación o, en su caso si procede, la cancelación de los mismos.

2. Plazo para contestar. Los derechos de rectificación y cancelación se harán efectivos dentro de los diez días siguientes al de la recepción de la solicitud. Si los datos rectificados o cancelados hubieran sido cedidos previamente, se deberá notificar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, a su vez, la lleve a cabo en su fichero.

No obstante lo anterior, en el caso de que la solicitud de cancelación o rectificación no cumpla con los requisitos mencionados en el Artículo 11 anterior, el Secretario General comunicará al interesado el defecto en su solicitud dentro del plazo de siete días desde su recepción. En el caso de que el interesado subsanase los defectos de la solicitud, el plazo de diez para contestar al derecho rectificación o cancelación comenzará a partir del momento de la recepción de la solicitud conforme a los requisitos establecidos en el artículo 11 y así le será comunicado al interesado.

3. Excepciones particulares a la cancelación. La cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del interesado o de terceros o cuando existiese una obligación legal de conservar los datos, cuando exista una relación contractual, cuando deban gestionarse pagos y cobros, o cuando su mantenimiento sea preciso para el adecuado cumplimiento de los fines de la Universidad de Málaga.

Tampoco procederá el derecho de rectificación o cancelación si el dato coincide con el obrante en un expediente administrativo. Para proceder a la rectificación o cancelación será necesaria la previa revisión del expediente por los medios legalmente establecidos, y si resultasen modificados, se podrá considerar la rectificación o cancelación de los datos de los ficheros informatizados.

4. Notificación al interesado. Si se considera procedente la cancelación o rectificación solicitada se comunicará al interesado que se ha procedido a cancelar o rectificar los datos solicitados en la forma establecida en el artículo 14 de este Reglamento.

5. Borrado de los datos. En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización. Se exceptúa, no obstante, el supuesto en el que se demuestre que los datos han sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquéllos figuren.

Artículo 14. Tramitación de las solicitudes.

1. Procedimiento interno de tramitación. El Secretario General valorará en el plazo de 2 días desde la recepción de la solicitud el cumplimiento de los requisitos generales de capacidad del interesado y adecuación de la solicitud. En el caso de que el Secretario General considerase que la solicitud no cumple con los requisitos generales establecidos en el artículo 11, previa consulta al Gabinete Jurídico, lo notificará al interesado dentro del plazo máximo de diez días desde la recepción de la solicitud en el caso de accesos y dentro del plazo máximo de siete días en el caso de cancelación o rectificación, para que el interesado, en su caso, subsane los defectos o adjunte los documentos preceptivos interponiendo nueva solicitud en el plazo de diez días. Si los defectos no fuesen subsanados en el plazo de 10 días, la solicitud de acceso, rectificación o cancelación se tendrá por caducada.

Si la solicitud reuniese los requisitos formales indicados, se procederá de la siguiente manera:

El Secretario General trasladará dicha solicitud a la Comisión de Protección y Tratamiento de Datos Personales de la Universidad de Málaga, si dicha Comisión fuera la responsable del fichero en cuestión; caso contrario, remitirá la solicitud al responsable del respectivo fichero de acuerdo con lo dispuesto en el Anexo I apartado II, en el plazo máximo de dos días desde la recepción de la solicitud en forma.

2. En el caso del derecho de acceso, el responsable del fichero correspondiente, recabará en el plazo máximo de diez días la información solicitada a través de los Encargados del Tratamiento de las distintas unidades y preparará un escrito conforme al modelo recogido en el Anexo IV a esta normativa, que será firmado por el Ilmo. Sr. Secretario General y remitido al interesado dentro del plazo máximo de un mes desde la recepción de la solicitud en Registro General, mediante notificación administrativa.

3. En el caso de los derechos de rectificación y cancelación el responsable del fichero correspondiente recabará la información necesaria de los Encargados del Tratamiento y entregará al Secretario General en el plazo máximo de siete días desde la recepción de la solicitud, la propuesta de resolución de la solicitud.

En caso de duda sobre la procedencia de la rectificación o cancelación se consultará al Gabinete Jurídico. El Responsable del Fichero ordenará a los Encargados del Tratamiento que se refleje la mencionada rectificación o cancelación. El Secretario General notificará la resolución al interesado dentro del plazo máximo de diez días desde la solicitud de rectificación o cancelación, mediante notificación administrativa.

El Secretario General mantendrá un Registro de accesos, rectificaciones y cancelaciones, integrado en el Registro de Incidencias de la Universidad de Málaga, tal y como se define en el Anexo I.

4. Rechazo de la solicitud. Se rechazará la solicitud en los siguientes casos:

  1. Cuando la solicitud sea presentada por una persona jurídica.
  2. Cuando el solicitante sea una persona distinta del interesado o de su representante, de acuerdo con lo dispuesto en el artículo 11.1.
  3. Cuando se haya ejercitado el derecho de acceso en los últimos doce meses, salvo que se acredite un interés legítimo.
  4. En el caso del derecho de rectificación cuando no se indique el dato que es erróneo y la corrección que debe realizarse.
  5. Cuando se trate de solicitudes genéricas.

Si solicitado el acceso, la rectificación o cancelación, se considera que no procede acceder a la solicitud del interesado, así se le comunicará de forma motivada, dentro del plazo un mes para el acceso o diez días para la rectificación o cancelación a contar desde la recepción de la solicitud en Registro General de la Universidad, con arreglo a los artículos 12.3 y 13.2 de esta normativa.

La resolución será adoptada por el Secretario General de la Universidad de Málaga y se comunicará al interesado remitiéndose al domicilio que éste hubiere señalado al efecto, mediante notificación administrativa.

3. Gabinete Jurídico. Corresponderá al Gabinete Jurídico el asesoramiento al Responsable del Fichero sobre la homogeneización y fijación de los criterios aplicables en la atención a los derechos del interesado. A tal efecto, dentro de los diez días siguientes a la recepción en Registro General de la solicitud de acceso y dentro de los cinco días siguientes a la recepción de la solicitud de rectificación o cancelación, el Secretario General o el Responsable del fichero remitirán al Gabinete Jurídico, junto con la documentación necesaria, aquellas solicitudes de acceso, rectificación o cancelación que por sus características particulares o por las cuestiones en ellos planteadas se considere que deben ser objeto de análisis jurídico específico.

El Gabinete Jurídico recabará los informes que estime oportunos, e informará al Secretario General y al Responsable del fichero realizando una propuesta de resolución en el plazo más breve posible, y en cualquier caso dentro del plazo de un mes desde la recepción de la solicitud.

TÍTULO III. RÉGIMEN DE LA CESIÓN DE DATOS.

Artículo 15. El consentimiento y sus excepciones.

1. Consentimiento del interesado. Los datos objeto de tratamiento sólo podrán ser cedidos para el cumplimiento de fines directamente relacionados con la actividad legítima del cedente y del cesionario.

La cesión de datos requiere del consentimiento inequívoco del interesado, salvo en los supuestos previstos en el siguiente apartado.

2. Excepciones a la obtención del consentimiento. No será necesario recabar el consentimiento en los siguientes casos:

  1. Cuando la cesión esté autorizada por ley.
  2. Cuando se trate de datos recogidos de fuentes accesibles al público tal y como se definen en el Anexo I. Sin embargo, de acuerdo con el artículo 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la Universidad de Málaga no podrá ceder datos obtenidos de fuentes de acceso al público a ficheros de titularidad privada salvo previo consentimiento del interesado.
  3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento a ficheros de terceros.
  4. Cuando la comunicación tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal, o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, siendo asimismo lo anterior aplicable a los organismos autonómicos equivalentes.
  5. Cuando la cesión se realice entre administraciones públicas y tenga como objeto el tratamiento de los datos con fines históricos, científicos o estadísticos.
  6. Cuando la cesión de datos de salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación estatal o autonómica sobre la materia.
  7. Si la cesión se realiza previo procedimiento de disociación de datos.
  8. La comunicación de datos entre administraciones públicas para el ejercicio de competencias que versen sobre la misma materia.
  9. Las cesiones que impliquen el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio a la Universidad de Málaga, de acuerdo con lo establecido en el artículo 12 de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Artículo 16. Fórmula para recabar el consentimiento.

Para que el consentimiento sea válido a efectos de cesión de datos, el interesado debe contar con la siguiente información:

  1. Tipo de datos objeto de cesión.
  2. Finalidad de la cesión.
  3. Actividad de las entidades cesionarias.

En el caso de las automatrículas, la fórmula de autorización de cesión de datos de estudiantes a empresas u organismos públicos, no será efectiva en tanto el estudiante no confirme su consentimiento mediante firma ante la administración del Centro o en tanto no existan procedimientos técnicos adecuados que permitan garantizar el consentimiento inequívoco, libre, específico e informado del estudiante.

El consentimiento para la cesión de datos tendrá carácter revocable por lo que, en caso de producirse, deberá comunicarse de inmediato la revocación a las empresas cesionarias instándoles a que cesen en el tratamiento de los datos del interesado, ello a través de medio que acredite el envío y la recepción de la notificación, y sin perjuicio de lo previsto en el artículo 19 de este Reglamento.

Artículo 17. Tipología de cesiones.

En función de la necesidad de recabar consentimiento del interesado y del procedimiento para recabarlo, las cesiones pueden distinguirse en:

a. Cesiones de datos de carácter personal que requieren del consentimiento del interesad: Con carácter general todas las cesiones de datos de carácter personal requerirán previo consentimiento del interesado, salvo en los supuestos previstos en el Artículo 15.2 de esta normativa, de acuerdo con lo establecido en los Artículos 11, 12 y 21 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

En estos supuestos la Universidad deberá recabar el consentimiento de los interesados mediante las fórmulas de autorización correspondientes y a través del procedimiento establecido en el Artículo 18 siguiente.

b. Cesiones de datos que no requieren previo consentimiento del interesado: No requerirán previo consentimiento del interesado las cesiones realizadas bajo los supuestos previstos en el artículo 15.2 de esta normativa, de acuerdo con lo establecido en los artículos 11, 12 y 21 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En tales supuestos la Universidad efectuará las cesiones de acuerdo con los procedimientos establecidos en los artículos 18.2, 19 y 20 de esta normativa.

Artículo 18. Procedimiento de cesión de datos.

1. Cesiones de datos que requieran del consentimiento del interesado. En el caso de cesiones de datos que precisen del consentimiento del interesado, tanto a entidades de derecho público como a entidades de derecho privado, se procederá de la siguiente forma.

Los solicitantes remitirán la solicitud al Ilmo. Sr. Secretario General de la Universidad, quien trasladará dicha petición a la Comisión de Protección y Tratamiento de datos de Carácter Personal. Dicha Comisión valorará la oportunidad de la cesión así como su legalidad. En caso de apreciarse la oportunidad de la cesión el proceso se pondrá en manos del Responsable del fichero afectado.

El Responsable del fichero remitirá la Carta de Condiciones para que ésta sea firmada mediante «recibí y conforme» por la empresa u organismo que solicita los datos. Una vez firmada y recibida en la Universidad la Carta de Condiciones, el Responsable del fichero solicitará al Responsable de Seguridad del Fichero, los datos objeto de cesión.

El Responsable de Seguridad del Fichero comprobará la autorización prestada por los interesados y remitirá el listado correspondiente al Responsable del fichero que lo hubiese solicitado. El Responsable de Seguridad llevará a cabo un sistema de marcado en las fichas personales generadas al efecto, donde consten en cada momento las cesiones realizadas, a fin de garantizar el efectivo ejercicio de los derechos de acceso, rectificación y cancelación de los interesados.

El Responsable del fichero comunicará los datos a las empresas cesionarias enviándolo por Registro General, confirmará al Responsable de Seguridad el envío y mantendrá un archivo físico con las Cartas de Condiciones firmadas por las entidades cesionarias así como copia de la información remitida. Las cesiones realizadas serán reflejadas en el Registro de Incidencias de la Universidad de Málaga.

Tan sólo se cederán datos de carácter personal que requieran del consentimiento del interesado, mediante el procedimiento aquí establecido, cualquier cesión de datos que no cumpla con este procedimiento será responsabilidad exclusiva de quien lo lleve a cabo frente a terceros y frente a la propia Universidad de Málaga.

Asimismo, en el caso de que la cesión de datos, que provengan de un fichero con nivel de seguridad medio o alto, se efectúe mediante la entrega de soportes informáticos, ésta deberá ser autorizada por el Responsable de Seguridad del fichero, y será anotada en el Registro de Incidencias de la Universidad de Málaga.

2. Cesiones de datos que no requieren consentimiento del interesado. En el caso de cesiones de datos que no precisen del consentimiento del interesado de acuerdo con lo previsto en el Artículo 17 b) anterior, tales cesiones se llevarán a cabo mediante la supervisión del Responsable del fichero. Así en particular, con carácter enunciativo y no limitativo:

  1. La cesión realizada a organismos judiciales y administrativos, de conformidad con las diferentes leyes aplicables, en el ejercicio de las funciones que tienen atribuidas y en los supuestos y condiciones establecidos en las citadas normas, de acuerdo con lo establecido en el artículo 20.
  2. La cesión de datos personales de empleados realizada a los representantes Libertad Sindical, y de la Ley 2/1991 de 7 de Enero, sobre derecho de información de los representantes de los trabajadores en materia de contratación o normativa vigente en cada momento.
  3. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado, o para realizar los estudios epidemiológicos en los términos establecidos en la Ley 14/1986, de 25 de Abril, General de Sanidad, disposiciones complementarias, en la Ley 31/1995 de Prevención de Riesgos Laborales y en la normativa vigente en cada momento.
  4. Cuando la cesión se efectúe previo procedimiento de disociación, es decir, de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

Sin perjuicio de lo anterior, y dada su especialidad, las cesiones de datos para la prestación de servicios de acuerdo con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, seguirán la tramitación prevista en el artículo 19 de este Reglamento.

Artículo 19. Procedimiento de cesión de datos para la prestación de servicios.

El acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio a la Universidad de Málaga no requerirá previo consentimiento del interesado.

La revelación de datos en estos supuestos requieren la celebración de un contrato entre el titular del fichero y el prestador del servicio en el que se acuerde la confidencialidad de la información, la finalidad exclusiva de tratamiento de datos para la prestación del servicio, la obligación de destrucción de los datos y devolución de los soportes una vez prestado el servicio, la declaración del cesionario de cumplir con las medidas de seguridad exigidas por la ley, así como la prohibición de cesión sucesiva salvo autorización expresa del cedente, todo ello de acuerdo con lo establecido en el artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

La cesión de datos para la prestación de servicios deberá ser previamente autorizada por la Comisión de Protección y Tratamiento de datos de Carácter Personal de la Universidad. Cualquier cesión de estas características, realizada por una unidad sin autorización previa de la referida Comisión, será responsabilidad exclusiva de quien realice la cesión, frente a terceros y frente a la Universidad.

La realización de estas cesiones deberá ser reflejada en el Registro de Incidencias de la Universidad de Málaga. El Secretario General guardará los originales de los contratos de cesión para prestación de servicios firmados por él mismo en representación de la Universidad.

Artículo 20. Cesiones de datos a autoridades judiciales y administrativas especiales.

La información sobre datos de carácter personal obrantes en ficheros de la Universidad de Málaga que puede afectar a estudiantes, personal o terceros, será comunicada a autoridades judiciales y administrativas, con sujeción al procedimiento legalmente establecido y a las reglas que se exponen a continuación. No se atenderán peticiones de información sobre datos de carácter personal no motivadas.

Las informaciones solicitadas por órganos gubernativos directamente relacionados con actuaciones preparatorias o complementarias de procesos judiciales, serán facilitadas cuando conste claramente la intervención de órgano judicial concreto.

La cesión de datos a órganos judiciales y administrativos especiales será supervisada por el Responsable del fichero.

a. Organismos judiciales. Se facilitarán los datos en la medida en que sean solicitados mediando la intervención del juez y previo asesoramiento por parte del Gabinete Jurídico. En el caso de solicitudes de información por parte de los Cuerpos y Fuerzas de Seguridad del Estado, debe mediar orden judicial para la cesión de datos.

b. Organismos administrativos Se facilitarán los datos:

  • · Cuando la solicitud haya sido presentada por la Inspección Tributaria, la Agencia Estatal Tributaria o las Oficinas Recaudatorias de las Haciendas Locales, en virtud de lo establecido en los artículos 111 y 112 de la Ley General Tributaria, y el artículo 37 del Reglamento General de Inspección de Tributos, o normativa vigente en cada momento y siempre que la información solicitada tenga trascendencia tributaria.
  • · Cuando la solicitud sea presentada por el Instituto Nacional de la Seguridad Social o cualquiera de sus Agencias, en el ejercicio de las competencias que le son propias.
  • · Cuando la solicitud sea presentada por la autoridad laboral correspondiente en el uso de las competencias que le son propias.
  • · Cuando la solicitud de datos se presente basada en la Ley 12/1989, de 12 de Mayo, sobre Función Pública Estadística para la elaboración de estudios de este carácter.
  • · Siempre que las cesiones sean obligatorias en virtud de una Ley.

Artículo 21. Transferencia Internacional de datos.

Sin perjuicio de los procedimientos de cesión establecidos en Artículos anteriores, cualquier cesión de datos efectuada a un país que no sea miembro de la Unión Europea requerirá el previo pronunciamiento del Responsable del Fichero, asesorado, en su caso por el Gabinete Jurídico.

Las cesiones realizadas serán reflejadas en el Registro de Incidencias de la Universidad de Málaga.

Artículo 22. Revocaciones y rectificaciones.

La revocación del consentimiento para la cesión de datos deberá realizarse necesariamente mediante escrito dirigido al Ilmo. Sr. Secretario General de la Universidad de Málaga manifestando tal decisión, sin que sea posible efectuar tal revocación dentro de un mismo curso académico por otro procedimiento que no sea aquel. En particular, no se entenderá revocado el consentimiento cuando el interesado manifieste su consentimiento y su revocación mediante la cumplimentación de varios formularios administrativos dentro del mismo curso académico.

Tanto la revocación del consentimiento del interesado para el tratamiento de sus datos como las rectificaciones de sus datos deberán ser comunicadas por el Secretario General a las empresas cesionarias dentro del plazo máximo de 10 días desde que el interesado notifique la revocación o rectificación de datos.

TÍTULO IV. CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS.

Artículo 23. Procedimiento de creación, modificación y supresión de ficheros.

La creación de ficheros de la Universidad de Málaga corresponde al Rectorado mediante resolución publicada en el BOJA y notificación a la Agencia de Protección de Datos.

Cuando una unidad de la Universidad necesite por razones de su competencia recabar datos distintos a los mencionados en los ficheros registrados de la Universidad de Málaga, lo solicitará a la Comisión de Protección y Tratamiento de Datos de la Universidad mediante escrito motivado. En caso de estimarse la solicitud, el Gabinete Jurídico llevará a cabo las actuaciones procedimentales precisas de cara a la modificación de ficheros y regularización ante los órganos competentes. No se podrá recabar ningún dato de carácter personal si no se encuentra previamente incluido en el fichero publicado y comunicado a la Agencia de Protección de Datos.

Recabar datos distintos a los contenidos en los ficheros registrados sin contar con la previa autorización de la Comisión antes referida, o recabarlos con anterioridad a su inclusión formal en los ficheros registrados, podrá lugar, en su caso, a responsabilidades disciplinarias, respondiendo el usuario frente a terceros y frente a la propia Universidad. La solicitud de creación de nuevos ficheros seguirá el mismo procedimiento.

Las decisiones sobre modificación y supresión de ficheros se publicarán en el BOJA mediante resolución del Rectorado y deberán comunicarse a la Agencia de Protección de Datos en el plazo máximo de un mes desde que se hubieran publicado, a efectos de su inscripción. La creación, modificación y supresión de ficheros será tramitada por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga a solicitud del Secretario General.

Artículo 24. Documentos de seguridad de los ficheros.

Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto dependiendo de la naturaleza de los datos personales contenidos en el fichero relevante:

  • · Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
  • · Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999 de Protección de Datos relativo a la prestación de servicios de información sobre solvencia patrimonial y crédito, deberán reunir, además de las medidas de nivel básico, las calificadas de nivel medio.
  • · Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.
  • · Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio.

Los documentos de seguridad de los ficheros así como sus modificaciones serán redactados por el Gabinete Jurídico de la Universidad apoyados por el

Responsable de Seguridad del fichero en el apartado relativo a las especificaciones técnicas y serán aprobados por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga. Las cuestiones técnicas relativas a la implantación de medidas de seguridad serán asumidas por el

Responsable de Seguridad de acuerdo con las instrucciones de servicio y documentos de seguridad de cada fichero.

Artículo 25. Contenido mínimo de los documentos de seguridad.

Los documentos de seguridad de los ficheros de la Universidad de Málaga se referirán como mínimo a las funciones y responsabilidades del personal implicado en el tratamiento de datos, especificaciones técnicas y, en su caso, instrucciones de tratamiento al personal de la Universidad.

El contenido mínimo de los documentos de seguridad, seguirá orientativamente la siguiente estructura con las particularidades concretas relativas al nivel de protección del fichero:

A. Datos identificativos del fichero:

A.1. Introducción.

A.2. Ámbito de aplicación.

A.3. Estructura del fichero y descripción de los sistemas de información.

A.4. Nivel de seguridad.

B. Funciones y responsabilidades del personal:

B.1. Identificación del personal implicado en el tratamiento de datos.

B.2. Identificación de obligaciones y competencias derivadas del tratamiento de datos.

B.3. Asignación de funciones.

C. Especificaciones Técnicas:

C.1. Niveles de acceso interno a la información.

C.2. Medidas de seguridad, procedimientos operacionales y gestión de incidencias.

- Registro de incidencias.

- Régimen de acceso a la información digital.

- Tratamiento y acceso a la información en soporte papel.

- Copias de seguridad.

- Controles de acceso a locales.

- Medidas de seguridad en las comunicaciones.

- Auditorías.

- Relación de aplicaciones informáticas con acceso a la información, ordenadores, etc.

D. Instrucciones sobre tratamiento de datos.

TÍTULO V. ÓRGANOS RESPONSABLES DE LOS FICHEROS. RESPONSABLES DE SEGURIDAD.

Artículo 26. La Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga.

Se crea la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, como órgano responsable de los ficheros creados en el ámbito de la Universidad. La referida Comisión estará compuesta por la Rectora o persona en quien delegue, el Secretario General, el Asesor Jurídico, el Oficial Mayor y el Director Técnico del Servicio Central de Informática. Las funciones atribuidas a la Comisión, además de las ya mencionadas en los artículos anteriores de este reglamento, vienen a ser las siguientes:

  • · Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento.
  • · Autorizar la ejecución del tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero.
  • · Elaborará el documento de seguridad.
  • · Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento.
  • · Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información.
  • · Establecerá los procedimientos de identificación y autenticación para dicho acceso.
  • · Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
  • · Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal.
  • · Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos.
  • · Designará uno o varios responsables de seguridad.
  • · Adoptará las medidas correctoras necesarias en función de lo que se diga en el informe de auditoría.
  • · Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado.
  • · Autorizará por escrito la ejecución de los procedimientos de recuperación.

Artículo 27. Ficheros singulares: responsables.

En aquellos casos en los que así se determine por la singularidad o especialidad del fichero, la Comisión de Protección y Tratamiento de Datos podrá nombrar responsable del mismo a la persona que se encuentre al frente del servicio que directamente gestiona dicho fichero. En ese caso, el responsable del fichero asumirá las funciones indicadas en el anterior artículo, debiendo además informar cuantas veces se le requiera a la referida Comisión acerca de los cometidos y responsabilidades asumidas

Artículo 28. Responsable de seguridad.

El responsable de seguridad será el responsable técnico del Servicio Central de Informática de la Universidad de Málaga.

El responsable de seguridad tendrá las siguientes funciones:

  • · Coordinará y controlará las medidas definidas en el documento de seguridad.
  • · Analizará los informes de auditoría.
  • · Elevará las conclusiones del análisis al responsable del fichero.
  • · Controlará los mecanismos que permiten el registro de acceso.
  • · Revisará periódicamente la información de control registrada.
  • · Una vez al mes elaborará un informe de las revisiones realizadas en el registro de accesos.
  • · Cualesquiera otras funciones encomendadas por la Comisión de Protección y tratamiento de Datos destinadas a preservar o reforzar las medidas de seguridad y control de los ficheros.

Disposición Adicional Primera. Actuaciones ante la Agencia de Protección de Datos.

Corresponde a la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, la interlocución y el mantenimiento de las relaciones institucionales con la Agencia de Protección de Datos y / o organismo de la Comunidad Autónoma que asuma las competencias en materia de protección de datos, sin perjuicio de la colaboración del Responsable de Seguridad del fichero y, en su caso, del Responsable de cada fichero.

Como consecuencia del ejercicio de las potestades que la Ley reconoce al Director de la Agencia de Protección de Datos en lo referente a solicitudes de información y acciones inspectoras, y con el fin de obtener una interlocución única ante la Agencia de Protección de Datos u organismo de la Comunidad Autónoma, en el caso de que una unidad de la Universidad de Málaga reciba aviso de inspección o solicitud de información de la Agencia de Protección de Datos u organismo de la Comunidad Autónoma lo pondrá inmediatamente en conocimiento de la Comisión de Protección y Tratamiento de Datos. Dicha Comisión se reunirá, con el responsable del fichero caso de que no lo fuera la propia Comisión, así como con el responsable de seguridad del propio fichero afectado por la inspección y fin de estudiar el objeto de la referida inspección.

En el caso de que se realice la inspección, el Secretario General comparecerá acompañado, como mínimo, por el Asesor Jurídico de la Universidad, por el responsable del fichero, caso de que no lo fuera la propia Comisión, y por el Responsable de Seguridad, tratando en lo posible que el inicio de la actuación inspectora cuente con la presencia de todos ellos.

En caso de notificación de procedimiento o solicitud de información se remitirá a la Comisión de Protección y Tratamiento de Datos y además, en su caso, al Responsable del Fichero, escrito original recibido de la Agencia de Protección de Datos informando de la fecha de notificación, así como información sobre los extremos solicitados por esta última si obran en su Unidad. El Gabinete Jurídico remitirá el informe que proceda al responsable del fichero, para que éste lo remita a la Agencia de Protección de Datos.

Disposición Adicional Segunda. Información integrada en el fichero de terceros.

Sin perjuicio de lo establecido en el documento de seguridad del fichero de terceros, los Encargados Internos de Tratamiento del fichero de terceros en las distintas unidades deberán comunicar al Responsable del Tratamiento correspondiente, con anterioridad a la recogida de datos, el inicio de un proceso de recogida de datos de terceros, indicándole el tipo de datos recabados y la finalidad del tratamiento.

Los datos de terceros recabados o tratados por una unidad y no comunicados al Responsable del Fichero en los términos antes previstos serán de exclusiva responsabilidad de los usuarios que los traten, respondiendo frente a terceros y frente a la Universidad en caso de producirse un tratamiento ilegítimo de los mismos.

Disposición Transitoria.

El responsable técnico del Servicio Central de Informática asumirá las funciones de responsable de seguridad, debiendo llevarse a cabo la correspondiente modificación en la relación de puestos de trabajo y en el catálogo de funciones del citado puesto, a través de los mecanismos establecidos en la normativa vigente.

Asimismo, se adoptarán las medidas necesarias para crear la figura del Administrador de seguridad, encargado de asistir técnicamente al responsable de seguridad, como un nuevo puesto de trabajo que se incorporará a la relación de puestos de trabajo, de acuerdo con el procedimiento estatutariamente establecido.

ANEXO I. LISTADO DE DEFINICIONES.

 I. Conceptos básicos en materia de protección de datos.

Datos de carácter personal: Toda información de cualquier tipo (numérica, alfabética, gráfica, fotográfica, acústica etc.) concerniente a personas físicas identificadas o identificables

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Sistemas de Información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos personales.

Tratamiento de datos: Cualquier operación o procedimiento técnico de carácter automatizado o no, que permita la recogida, grabación conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Interesado: Persona física titular de los datos que sean objeto del tratamiento.

Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, especifica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

Fuentes accesibles al público: Aquellos ficheros que puedan ser consultados por cualquier persona, no impedido por una norma limitativa o sin más limitación que, en su caso, el abono de un precio. Tienen la consideración de fuentes de acceso al público, exclusivamente, el censo promocional, los repertorios telefónicos y los repertorios de los colegios profesionales cuando únicamente incluyan nombre, titulación, profesión, actividad, grado académico y pertenencia al grupo, así como, los diarios y boletines oficiales y los medios de comunicación.

Registro de Incidencias: es el soporte en el que se contemplan el tipo de incidencias detectadas en el tratamiento de datos de carácter personal, el momento en el que se producen, la persona que realiza las gestiones, la persona afectada y sus efectos.

Registro General: es el registro de la Universidad de Málaga, en el que deben presentarse todas las solicitudes relacionadas con la materia de protección de datos de carácter personal, y en especial aquellas relacionadas con el ejercicio de los derechos de acceso, rectificación y cancelación de datos, así como las revocaciones de consentimiento.

II. Definiciones del personal universitario implicado en el tratamiento de datos.

Usuario: toda persona que en el ejercicio de sus competencias trata datos de carácter personal

Encargados de tratamiento: aquellas personas de las que depende un grupo de usuarios y tienen una responsabilidad que alcanza al tratamiento de datos en una unidad concreta. Los Responsables de cada fichero, por necesidad o conveniencia organizativas, podrán nombrar como Encargados de Tratamiento a personas que no coincidan con la definición antes expresada.

Responsables del Fichero: Es el órgano colegiado o persona física designada en su caso por dicho órgano, que decide acerca de la finalidad, contenido y uso del tratamiento, adoptando las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal. Sus facultades y funciones vienen expresamente atribuidas en el presente Reglamento. En la Universidad de Málaga el responsable de los ficheros viene a ser la Comisión de Protección y Tratamiento de Datos de la Universidad, o en su caso, por delegación la persona física que al efecto sea nombrada por dicho órgano.

Responsable de seguridad: Es la persona a quien el Responsable del Fichero atribuye las obligaciones que le afectan en materia de implantación, coordinación y control de las medidas de seguridad aplicables, teniendo las funciones y facultades establecidas en el presente Reglamento.

Encargado de Aplicaciones: figura creada al efecto por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, a propuesta del responsable de seguridad, para funciones concretas.

Encargado de Sistemas: figura creada al efecto por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, a propuesta del responsable de seguridad, para funciones concretas.

Encargado de Comunicaciones: figura creada al efecto por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, a propuesta del responsable de seguridad, para funciones concretas.

Técnicos Informáticos: Personal integrado en el Servicio Central de Informática que realizan funciones de diseño, administración, operación o programación de las bases de datos, aplicaciones, sistemas o equipos de comunicaciones y que por su trabajo puedan tener acceso a la información del fichero.

Encargado de procesos: figura creada por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga, a propuesta del responsable de seguridad, con funciones de supervisión y control. Depende jerárquicamente en materia de tratamiento de datos de carácter personal del Responsable de Seguridad.

ANEXO II. FÓRMULA INFORMATIVA DEL ARTÍCULO 5 DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS.

1. «De acuerdo con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, le informamos que sus datos pasan a formar parte del fichero de [introducir fichero correspondiente] de la Universidad Málaga cuya finalidad es [introducir la finalidad del fichero correspondiente], de acuerdo con lo dispuesto en la Resolución de la Universidad de creación de ficheros de fecha...........

Le comunicamos que puede ejercitar los derechos de acceso, rectificación y cancelación de sus datos remitiendo un escrito al Ilmo. Sr. Secretario General de la Universidad de Málaga, adjuntando copia de documento que acredite su identidad»

2. La presente fórmula debe incorporarse en todos los formularios de recogida de datos, salvo que el interesado ya haya sido previamente informado. Cualquier procedimiento mediante el cual se recaben datos por primera vez, debe incluir la fórmula informativa.

El interesando debe firmar el documento en el que se incluya esta fórmula informativa y debe quedar en poder de la Universidad.

ANEXO III. FORMULA PARA RECABAR EL CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS.

«Por la presente autoriza el tratamiento de sus datos de carácter personal y su inclusión en el fichero de [introducir fichero correspondiente] de la Universidad de Málaga, cuya finalidad es [introducir la finalidad del fichero correspondiente], de acuerdo con lo dispuesto en la Resolución de la Universidad de Málaga de creación de ficheros de fecha............ De conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos le informamos de la posibilidad de ejercitar, conforme a dicha normativa y lo establecido en el Reglamento aprobado pro el Consejo de Gobierno de la Universidad de Málaga, los derechos de acceso, rectificación y cancelación, mediante escrito dirigido al Ilmo. Sr. Secretario General de la Universidad de Málaga, adjuntando copia de documento que acredite su identidad.»

Se recabará el consentimiento expreso del interesado mediante la inclusión de esta fórmula en los impresos que recojan datos para tratamiento que no responda a alguna de las excepciones previstas en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos.

En el caso de tratamiento de datos previstos en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos, el consentimiento se recabará en la forma allí prevista.

El consentimiento no se recabará por vía telemática mientras no se den las garantías técnicas necesarias que permitan acreditar la efectiva prestación del consentimiento.

El interesando debe firmar el documento en el que se incluya esta fórmula de autorización y éste quedará en poder de la Universidad.

ANEXO IV. MODELO DE CONTESTACIÓN AL DERECHO DE ACCESO.

A la vista de la solicitud de D...., [estudiante, PDI, PAS o tercero de la Universidad de Málaga], sobre acceso a sus datos de carácter personal incluidos en el fichero de [introducir fichero], habiendo considerado su solicitud adecuada a Derecho, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle, dentro del plazo previsto [en el caso de que la solicitud no cumpla con los requisitos señalados en el artículo 8 se le comunicará al interesado dentro del plazo de diez días para que subsane los defectos], de lo siguiente:

1.- La Universidad de Málaga trata los siguientes datos de carácter personal relativos a su persona:

* Datos identificativos:

* Datos académicos:

* Datos de empleo y profesionales:

* Datos económicos financieros:

* Datos de participación en servicio universitarios:

* Datos de salud:

2.- La finalidad para la que se tratan sus datos es:

3.- El origen de sus datos es

4.- Las empresas y organismos públicos cesionarios de sus datos son las siguientes: [introducir entidades cesionarias con la dirección. No será necesario introducir la dirección en el caso de organismos oficiales] para la finalidad de [...] Quedamos a su disposición para cualquier cuestión. Atentamente, El Secretario General, Presidente de la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga

ANEXO V. MODELO DE CONTESTACIÓN AL DERECHO DE RECTIFICACIÓN O CANCELACIÓN DE DATOS.

Rectificación:

«A la vista de la solicitud efectuada por D..., en su calidad de [Estudiante, PDI, PAS o tercero de la Universidad de Málaga].sobre la rectificación de sus datos de carácter personal incluidos en el fichero de..., habiendo considerado su solicitud adecuada a Derecho de acuerdo con lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle dentro del plazo establecido de lo siguiente:

El dato de carácter personal relativo a...que constaba en nuestros ficheros ha sido modificado de acuerdo con su solicitud efectuada en fecha... por lo que a partir de ahora consta en nuestros archivos... Atentamente, El Secretario General, Presidente de la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga.

Cancelación:

«A la vista de la solicitud efectuada por D..., en su calidad de [Estudiante, PDI, PAS o tercero de la Universidad de Málaga]. sobre la cancelación de sus datos de carácter personal... incluido/s en el fichero de..., habiendo considerado su solicitud adecuada a Derecho de acuerdo con lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle dentro del plazo establecido que sus datos de carácter personal que constaban en nuestros ficheros han sido cancelados por lo que no se realizará tratamiento alguno de los mismos en adelante. Atentamente, El Secretario General, Presidente de la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga.

ANEXO VI. FÓRMULA PARA RECABAR EL CONSENTIMIENTO PARA LA CESIÓN DE DATOS.

Los únicos impresos de matrícula que habrán de introducir la fórmula de autorización de cesiones son los siguientes:

-Impreso de matrícula de primer y segundo ciclo.

-Impreso de matrícula de tercer ciclo (en vez de titulación se hará constar programa de doctorado).

-Impreso de matrícula de estudios propios (en vez de titulación se hará constar el estudio propio).

-Impreso de Becas o Ayudas.

-Solicitud de título

Los datos relativos a titulación, curso o ciclo variarán en los impresos de tercer ciclo y estudios propios (programa de doctorado o estudio propio). La inclusión de fórmulas de autorización para cesiones de datos en impresos distintos a los mencionados deberá ser autorizada por la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga. Sin perjuicio de lo anterior, se reproduce a continuación el modelo de fórmula de autorización para cesiones de datos acordes a la legislación vigente, que podrá ser introducido en los formularios previa supervisión de la Comisión de Protección y Tratamiento de Datos de la Universidad de Málaga.

«¿Autorizas la cesión de tus datos de carácter personal a empresas del sector de [introducir actividad genérica de las empresas] o a organismos públicos con competencia en materia de [introducir competencia] con la finalidad de [introducir finalidad de la cesión]?»

ANEXO VII. MODELO DE CARTA DE CONDICIONES.

La empresa [introducir denominación social u organismo público] (en adelante la «Cesionaria») habiendo manifestado su deseo de obtener datos de carácter personal relativos a [introducir descripción de los datos], asume los siguientes compromisos en virtud del presente documento:

1. La Cesionaria se compromete a tratar los Datos con la finalidad exclusiva de [introducir finalidad]

2. Ejercitado el derecho de cancelación de datos por parte de los interesados o cuando la Universidad lo estime oportuno y así lo comunique la Cesionaria, ésta deberá cesar de inmediato en el tratamiento de los datos que serán cancelados procediéndose al borrado de los mismos.

3. Cualquier tratamiento de los Datos que no se ajuste a la finalidad para la que son cedidos, será responsabilidad exclusiva de la Cesionaria, que responderá frente a terceros y frente a la propia Universidad de los daños y perjuicios que pudieren generarse.

4. La Cesionaria manifiesta cumplir con la normativa vigente en materia de protección de datos de carácter personal y en particular con las medidas de seguridad correspondientes a sus ficheros.

El cesionario se compromete a aplicar a los Datos las medidas de seguridad previstas en el artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, así como lo dispuesto en el Real Decreto 994/1999 por el que se aprueba el reglamento de medidas de seguridad aplicables a los ficheros automatizados de datos de carácter personal, y en cada momento las disposiciones en vigor en esta materia.

El incumplimiento de este compromiso será responsabilidad exclusiva de la Cesionaria que responderá frente a terceros y frente a la propia Universidad de los daños y perjuicios que pudieran generarse.

5. La Cesionaria se compromete a no realizar ninguna cesión de los Datos. La Cesionaria sólo tratará los Datos para un único envío y durante un curso académico, sin perjuicio de que cualquier estudiante ejercite su derecho de revocación de la cesión [En el momento en que el interesado revoque su autorización, el Responsable Interno de Tratamiento debe comunicar esta revocación a la empresa en el plazo de 10 días para que proceda a cancelar los datos. Existe igualmente la obligación legal del cedente (la Universidad) de informar al cesionario (empresas) de cualquier rectificación de los datos].

Recibí y conforme.

 Fdo: D...

Representante de la Cesionaria

ANEXO VIII. MODELO DE CONTRATO DE PRESTACIÓN DE SERVICIOS.

[Estas cláusulas son un mínimo que deben introducir este tipo de contratos sin perjuicio de cualquier previsión adicional en cada caso concreto, previo asesoramiento del Gabinete Jurídico en cuestiones sustanciales].

En Málaga, a [...] de [....] de 200...

REUNIDOS

De una parte, la Universidad de Málaga, (en adelante «la Universidad»). Entidad de derecho público representada en este acto por el Ilmo. Sr. Secretario General, D................... facultado para este acto en virtud de lo establecido en el Reglamento de la Universidad de Málaga sobre Protección y Tratamiento de Datos de Carácter Personal, aprobado mediante Acuerdo del Consejo de Gobierno de fecha......

Y de otra parte, [Introducir datos de la empresa que realizará el servicio y a su representante que debe acreditar su representación] (en adelante el «Mandatario»)

Ambas partes se reconocen capacidad suficiente para celebrar el presente contrato.

MANIFIESTAN

I. Que la Universidad en el marco de su actividad relativa a [introducir actividad implicada] desea [introducir finalidad que justifica la contratación del servicio].

II. Que el Mandatario es una empresa dedicada a la [introducir objeto social y actividad que desarrolla la empresa].

III. Que el Mandatario cumple estrictamente con la normativa vigente en materia de protección de datos de carácter personal y aplica las medidas de seguridad correspondientes a sus ficheros.

IV. Que la Universidad y el Mandatario desean celebrar el presente contrato de prestación de servicios y acuerdo de confidencialidad, consistente en [definir el servicio y su finalidad], (en adelante el «Servicio») de acuerdo con las siguientes

CLAÚSULAS

I. Objeto del contrato.

La Universidad encarga al Mandatario la realización del Servicio.

En el contexto de la prestación de servicios y con la finalidad mencionada, la Universidad proporciona al Mandatario los datos de carácter personal relativos a [introducir tipo de datos: nombre, apellidos y dirección del colectivo o parte del colectivo] (en adelante los «Datos») con el fin de hacer posible la prestación del Servicio.

El Servicio debe tener lugar en las fechas [introducir previsión de fechas].

II. Precio.

La Universidad satisfará al Mandatario la cantidad de [... ptas.] en concepto de retribución por la prestación de servicios.

El mencionado pago se realizará dentro de los [...] días siguientes a [...] mediante ingreso en la cuenta bancaria proporcionada al efecto por el Mandatario [introducir nº de cuenta] [introducir cualquier mención que se estime oportuna sobre la fijación del precio y el pago]

III. Tratamiento de los Datos.

El Mandatario se compromete a tratar los Datos con la finalidad exclusiva de la realización del Servicio. Una vez realizada la prestación del Servicio, el Mandatario se compromete a destruir los Datos proporcionados por la Universidad o en su caso a devolver a la Universidad los soportes donde se halle recogida la información.

Los Datos no podrán ser objeto de ningún tratamiento distinto a los previstos en este contrato.

Cualquier tratamiento de los Datos que no se ajuste a lo dispuesto en el presente acuerdo, será responsabilidad exclusiva del Mandatario frente a terceros y frente a la Universidad ante la que responderá por los daños y perjuicios que le hubiere podido causar.

IV. Medidas de Seguridad.

El Mandatario manifiesta cumplir con la normativa vigente en materia de protección de datos de carácter personal y en particular con las medidas de seguridad correspondientes a sus ficheros.

El Mandatario se compromete a aplicar a los Datos las medidas de seguridad previstas en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como lo dispuesto en el Real Decreto 994/1999, por el que se aprueba el reglamento de medidas de seguridad aplicables a los ficheros automatizados de datos de carácter personal, y en cada momento las disposiciones vigentes en la materia.

El incumplimiento de este compromiso será responsabilidad exclusiva del Mandatario que responderá frente a terceros y frente a la propia Universidad de los daños y perjuicios que pudieran generarse.

V. Subcesiones. Cesiones del mandatario.

El Mandatario se compromete a no realizar ninguna cesión de los Datos. Ello, salvo que tal cesión fuese imprescindible para la efectiva prestación del Servicio en cuyo caso el mandatario solicitará previa autorización de la Universidad que podrá otorgarla o resolver el contrato con el Mandatario.

En prueba de conformidad las partes firmen el presente contrato por duplicado en el lugar y fecha antes indicado.

Universidad de Málaga,                                                 El Mandatario.