Artigo 1. Organización en materia de seguridade da información e protección de datos

1.1 En materia de seguridade e protección de datos, a Universidade de Santiago de Compostela (USC) conta cunha área de Seguridade da Información, un Comité de Seguridade da Información e coa figura do Delegado de Protección de Datos (DPD).

1.2 A área de Seguridade da Información, dependente da Secretaría Xeral. Está formada polo secretario xeral adxunto, o vicesecretario xeral e o responsable de Seguridade da Información.

1.3 O Comité de Seguridade ten a composición e funcións que se recollen na Política de Seguridade da Información da USC.

1.4 A figura do DPD está regulada na lexislación europea e na estatal de protección de datos persoais, e exerce as súas funcións con plena independencia dentro da Universidade.

Artigo 2. Atribucións en materia de protección de datos persoais

2.1. A USC é responsable no seu ámbito de cumprimento da lexislación en materia de seguridade da información e protección de datos persoais.

En particular a Secretaría Xeral ten as seguintes atribucións:

– A posta en marcha de solucións en función da súa capacidade técnica, organizativa e orzamentaria

– A difusión de criterios de actuación á comunidade universitaria

– A información e concienciación en materia de seguridade da información e protección de datos persoais, así como a proposta de formación

2.2 Son atribucións da figura do DPD:

– O asesoramento á comunidade universitaria, a través da Secretaría Xeral

– A supervisión do cumprimento da normativa de seguridade da información e protección de datos persoais

– A elaboración de propostas de mellora

– A proposta de criterios de actuación

– A participación na concienciación e información en materia de seguridade da información e protección de datos persoais

– A función de servir de enlace coa Axencia Española de Protección de Datos (AEPD)

– A emisión de recomendacións no ámbito das súas competencias

– A recepción e contestación de reclamacións por parte das persoas afectadas

Artigo 3. Consultas relacionadas coa protección de datos persoais

3.1 Corresponde á Secretaría Xeral:

– A creación dun enderezo electrónico específico de consultas

– A contestación das consultas ordinarias

– A solicitude de informe ao DPD sobre as consultas complexas

– A difusión de criterios de actuación elaborados polo DPD

3.2 Son funcións do DPD:

– A atención ás persoas interesadas no caso de consultas complexas

– A remisión á Secretaría Xeral das consultas simples que reciba

– A emisión de informes sobre consultas complexas

– A elaboración de criterios para a actuación xeral da USC

Artigo 4. Exercicio dos dereitos en materia de protección de datos persoais

4.1 Son funcións da Secretaría Xeral:

– A recepción das solicitudes relativas ao exercicio de dereitos

– A elaboración de informes cando sexa necesario

– A xestión e contestación de solicitudes recibidas

4.2 Son funcións do DPD:

– Instar á USC ao cumprimento das obrigas establecidas para facer efectivos os dereitos das persoas en materia de protección de datos persoais

– Informar sobre as solicitudes para o exercicio dos dereitos en casos complexos

– Informar sobre os modelos de solicitude para o exercicio de ditos dereitos

– Establecer criterios de actuación ante situacións complexas

Artigo 5. Elaboración de documentos tipo en materia de protección de datos persoais

5.1 Corresponde á Secretaría Xeral a elaboración de documentos tipo e a súa difusión, previo informe do DPD.

5.2 Corresponde ao Comité de Seguridade da Información a aprobación de documentos tipo.

Artigo 6. Creación de novos tratamentos

6.1 Corresponde á Secretaría Xeral:

– A detección de tratamentos de datos non declarados

– A elaboración de documentos de creación de novos tratamentos

– A inclusión dos tratamentos na ferramenta informática

– A difusión dos novos tratamentos

– O seguimento das medidas de seguridade adoptadas, polo responsable de Seguridade da Información

6.2 Corresponde ao DPD:

– A detección de tratamentos de datos non declarados

– A Información ás posibles persoas afectadas

– O seguimento da creación dos novos tratamentos e das medidas de seguridade

Artigo 7. Concienciación e información

7.1 Corresponde ao Comité de Seguridade da Información:

– A elaboración e aprobación dun plan anual de formación, concienciación e información

– A comunicación do plan aprobado para a súa integración nos plans anuais de formación do PAS e do PDI

– A difusión e seguimento das accións formativas

7.2 Corresponde ao DPD:

– A elaboración da información preventiva

– O establecemento de criterios para a elaboración do plan anual

– A elaboración de informes e propostas ao borrador do plan anual

– A participación en accións formativas e de concienciación

Artigo 8. Incidencias en materia de seguridade da información

8.1 Corresponde á Secretaría Xeral:

– A detección de incidencias de seguridade da información

– A comunicación ao DPD das incidencias detectadas

– O seguimento e a resolución das incidencias

– A comunicación das incidencias á AEPD, de ser o caso

8.2 Corresponde ao DPD:

– A emisión de informes sobre os incidentes e a súa cualificación

– Servir de enlace coa AEPD

Artigo 9. Medidas de seguridade da información

9.1 Corresponde á Secretaría Xeral, a través do responsable de Seguridade da Información:

– A revisión das medidas de seguridade nos tratamentos

– A concreción na delegación da responsabilidade da seguridade segundo o tratamento

– A designación dos subresponsables de seguridade e unidades que xestionan os tratamentos

– A análise de riscos

– A realización de auditorías

– A realización de avaliacións de impacto

9.2 Corresponde ao DPD:

– Elaborar informes sobre o impacto das medidas de seguridade na protección de datos persoais

– Manter reunións anuais coas unidades que xestionan tratamentos

– Obter información sobre seguridade en todos os tratamentos

– Asesorar e supervisar as avaliacións de impacto que se realicen

Artigo 10. Posibles incumprimentos

10.1 Corresponde á Secretaría Xeral:

– A detección de incumprimentos e comunicación coa unidade responsable

– A comunicación do incumprimento ao DPD

– A proposta, posta en marcha e seguimento de solucións de incidencias

10.2 Corresponde ao DPD:

– Detectar incumprimentos e comunicalos á Secretaría Xeral

– Emitir informe sobre as propostas de solución de incidencias

– Realizar o seguimento da solución de incidencias

– Documentar as vulneracións relevantes detectadas en materia de protección de datos persoais e informar destas

Artigo 11. Contratos de encargado de tratamento

11.1 Corresponde ao Comité de Seguridade da Información aprobar os documentos tipo de contrato de encargado de tratamento.

11.2 Corresponde ás unidades de tramitación a xestión dos contratos de encargado de tratamento. Para estes efectos, consideraranse unidades de tramitación os órganos, servizos, centros, departamentos, grupos de investigación e outras unidades da USC.

11.3 Con base no documento tipo aprobado polo Comité de Seguridade da Información, as unidades de tramitación elaborarán as propostas de contrato de encargado de tratamento e elevaranas á Secretaría Xeral para a súa aprobación.

11.4 A Secretaría Xeral revisará as propostas e, de ser o caso, comunicará á unidade de tramitación os cambios que sexa preciso realizar.

11.5 As propostas, unha vez revisadas, asinaranse polo órgano encargado do tratamento e remitiranse á unidade de tramitación para a súa aplicación.

11.6 A Secretaría Xeral manterá un arquivo con todos os contratos de encargado de tratamento asinados pola USC.