LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 18:16:49

LegalToday

Por y para profesionales del Derecho

¿Qué deben hacer las Universidades para respetar la Protección de Datos?

Socia en Umbra Abogados
Delegada de Protección de Datos Certificada

Las Universidades, tanto públicas como privadas, están entre las entidades que mayor volumen de datos gestionan como parte de su actividad principal y, por lo tanto, también son entidades con un mayor riesgo de poner en peligro datos sensibles si su sistema de protección es vulnerable. En consecuencia, para evitar este riesgo deberán confeccionar un Plan de Protección de Datos eficaz que permita garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información que almacenan.

Universidad

La gestión administrativa de las Universidades implica un tratamiento de datos fundamentalmente de alumnos (incluidos los exalumnos y pre-alumnos), de profesores y personal docente, así como de investigadores. El área de investigación, desarrollo de i+d, los departamentos de recursos humanos e informática, también gestionan información que puede llegar a ser sensible.

Además, se maneja un gran volumen de datos de cada persona, puesto que el tratamiento puede ir desde los resultados académicos de los alumnos, datos curriculares del personal docente e investigador, datos de control de presencia y horario, datos económicos y financieros, hasta datos de salud para control de bajas laborales o certificados médicos del alumnado para justificación de faltas.

Las nuevas tecnologías han permitido que las Universidades desarrollen gran parte de su actividad en la red a través de campus virtuales, uso de soportes informáticos, constante uso de internet, lo que también supone un aumento considerable del riesgo y una gran responsabilidad en la aplicación de medidas organizativas y técnicas.

Las exigencias del Reglamento General de Protección de Datos para las Universidades

De acuerdo con el Reglamento General de Protección de Datos y la Ley 3/2018 de 5 de diciembre de Protección de Datos y Garantía de los Derechos Digitales, las Universidades públicas y privadas están obligadas a la designación de un Delegado de Protección de Datos (en adelante DPD), que cumpla con los requisitos de cualificación profesional y experiencia exigidos. La designación, así como los nombramientos y ceses, deben notificarse a la Agencia de Protección de Datos en los diez días siguientes. El DPD puede ser designado internamente o mediante externalización, lo que dependerá en gran medida del tamaño de la organización y de los recursos que pueda destinar a la protección de datos.

Asimismo, las Universidades deberán confeccionar un Registro de Actividades de Tratamiento que defina con precisión cada operativa y permita identificar los canales de entrada de datos, la legitimación del tratamiento y las posibles cesiones que sean necesarias.

Posteriormente se deberá realizar un Análisis Riesgos de cada uno de estos tratamientos, determinándose el riesgo inicial, las medidas recomendadas y el riesgo residual. Cuando de este análisis resulte un riesgo elevado para los derechos y libertades de las personas, se deberá realizar una Evaluación de Impacto, delimitándose las medidas de seguridad idóneas para mitigar este riesgo. Si, aun aplicándose dichas medidas, el riesgo sigue siendo  alto, se deberá plantear una consulta previa a la Agencia de Protección de Datos.

Cada canal de entrada de datos debe estar blindado con una cláusula de consentimiento y/o información según proceda, para que la recogida de información cumpla con los principios de licitud, lealtad, transparencia, exactitud y limitación de la finalidad.

Deberá prestarse especial atención a los tratamientos específicos que tienen lugar en las Universidades, como en el caso de datos de alumnos o empleados con minusvalías, los datos financieros y de situaciones personales y familiares de alumnos para admisiones y otorgamiento de becas, las posibles transferencias internaciones de datos de alumnos para intercambios universitarios, la publicación de resultados académicos, valorándose la posibilidad de implantar la seudonimización y el cifrado de datos cuando sea posible.

Protocolo interno sobre la protección de datos en la Universidad

Resulta clave la elaboración de una Política de Protección de Datos, que deberá darse a conocer a todo el personal de acuerdo con sus funciones y nivel de acceso a la información, cuyas normas debe configurarse como vinculantes, incluyéndose un régimen disciplinario aplicable en caso de incumplimientos.

Esta Política deberá contener fundamentalmente la clasificación de la información; las normas internas de confidencialidad mas o menos estrictas de acuerdo con la criticidad de la información; las normas para la gestión de recursos tales como ordenadores; redes de conexión wifi; móviles, e información a empleados y otros implicados relativas al control interno de los recursos propios de la Universidad. Como complemento a esta Política, las Universidades deben desarrollar protocolos específicos, tales como el protocolo para el ejercicio de derechos de los interesados, protocolo para el teletrabajo, protocolos de actuación en caso de ataque informático, establecimiento de los criterios de monitorización para la seguridad y ejercicio del control laboral.

Las Universidades mantienen relaciones con innumerables entidades externas tanto en concepto de subcontratación de servicios, como para cesión de datos. Por este motivo, se requiere la identificación clara de todos estos terceros que intervienen en el flujo de datos, así como la determinación del tipo de relación (Responsable-Encargado y/o Cedente-Cesionario), todo ello con el fin de determinar la legitimación del tratamiento por parte de los terceros, y de firmar los correspondientes acuerdos que regulen el flujo de datos.

Proteger los datos en las Universidades desde la seguridad tecnológica

No debemos olvidar que ningún plan de acción organizativo puede ser efectivo en protección de datos sin que exista una política de seguridad tecnológica que garantice, desde el punto de vista técnico, la protección real de la información. Es por ello que los departamentos y órganos que deben implicarse en el desarrollo e implantación del Plan de Protección de Datos, deben ser como mínimo, los órganos de gobierno de la Universidad, el DPD, el departamento jurídico, y el departamento informático y de seguridad.

La formación y concienciación constituye un aspecto crítico, teniendo en cuenta que un Plan de Protección de Datos, aun siendo perfecto, puede ser totalmente ineficaz si los miembros de la organización no se implican en su cumplimiento. Es importante que la Universidad, conjuntamente con el DPD, y en estrecha colaboración con la asesoría jurídica especializada, desarrolle un plan de formación que debe incluirse en el calendario de acciones de formación continua de la institución.

Principales debilidades de las Universidades respecto a la protección de datos

La primera de las grandes debilidades de las instituciones académicas es que no son conscientes de los riesgos de protección de datos, y, en consecuencia, no destinan recursos suficientes para contar con el asesoramiento legal y tecnológico requerido. La segunda de las grandes debilidades es la escasa formación que se imparte a su personal, lo que deriva en una insuficiente implicación de su plantilla en la ejecución de las medidas de prevención.

El cumplimiento de las obligaciones en materia de protección de datos supone indudablemente para las universidades un mayor coste económico y mayor esfuerzo en cuanto a tiempo y dedicación. El cumplimiento se ha de llevar conciliándose con el resto de tareas, habituales que forman parte de su actividad principal. Para lograr este equilibrio, es  recomendable acudir al asesoramiento de especialistas en protección de datos, que conozcan las particularidades y el funcionamiento interno de las Universidades, quienes podrán colaborar tanto en el diseño del Plan de protección de datos, como en la realización de auditorías externas y en el desarrollo de las funciones del DPD.

Por último, en cuanto a las consecuencias del incumplimiento de la normativa, las Universidades privadas pueden enfrentarse a multas de hasta 20 millones de euros o al 4% de la facturación anual del ejercicio anterior.

Las Universidades públicas, por su parte, serán sancionadas con apercibimientos y no tendrán sanción económica, pero la resolución sancionadora identificará el cargo responsable de la infracción y esto se publicará en la web de la Agencia de Protección de Datos y en el diario oficial correspondiente.

Además, la sanción puede suponer una amonestación pública de autoridades y directivos de la institución, lo que implicaría un fuerte impacto para los responsables, ello sin perjuicio de las medidas disciplinarias que pueden ser impuestas.

En ambos sectores, el coste reputacional en caso de sanción de protección de datos puede suponer un daño irreversible. Es por ello que trabajar en la prevención y en el desarrollo de una cultura ética de cumplimiento es indispensable para evitar escenarios de riesgos cuyas consecuencias pueden ser devastadoras para las Universidades españolas.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.