Legislación de la Comunidad de Madrid

RESOLUCIÓN a 23 de septiembre de 2021, del Rector de la Universidad Rey Juan Carlos, por la que se ordena la publicación en el Boletín Oficial de la Comunidad De Madrid de la normativa de uso de los recursos TIC, aprobada por Acuerdo del Consejo de Gobierno de la Universidad Rey Juan Carlos de 22 de julio de 2021 y publicada en el Boletín Oficial de la Universidad Rey Juan Carlos de 6 de agosto de 2021. ([1])

 

 

 

En el uso de las competencias atribuidas por el artículo 20 de la Ley Orgánica 6/2001, de 21 de diciembre, y su modificación efectuada mediante Ley Orgánica 4/2007, de 13 de abril; así como por el artículo 81.1.q) de los Estatutos de la Universidad Rey Juan Carlos, aprobados mediante Decreto 22/2003, de 27 de febrero, modificados, a su vez, mediante Decreto 28/2010, de 20 de mayo, y, de conformidad con el acuerdo aprobado por el Consejo de Gobierno de la Universidad Rey Juan Carlos, en sesión celebrada el día 22 de julio de 2021, y publicado en el Boletín Oficial de la Universidad Rey Juan Carlos el día 6 de agosto de 2021, este Rectorado ha dispuesto ordenar la publicación a efectos informativos en el Boletín Oficial de la Comunidad de Madrid la normativa de uso de los recursos TIC de la Universidad Rey Juan Carlos, cuyo texto íntegro se recoge a continuación.

 

ANEXO

NORMATIVA DE USO DE LOS RECURSOS TIC DE LA

UNIVERSIDAD REY JUAN CARLOS

 

PARTE EXPOSITIVA

La Universidad Rey Juan Carlos (en adelante, la URJC o la Universidad) en uso de las atribuciones que le están conferidas, viene manifestando en todo momento su compromiso con el desarrollo y la promoción de las Tecnologías de la Información y la Comunicación (en adelante, TIC), con el objeto de desarrollar su actividad docente, investigadora y de gestión.

El desarrollo de la Sociedad de la Información hace que la tecnología esté cada vez más presente en nuestros días. Esta situación plantea diversos retos en los ámbitos de la tecnología, la privacidad y la educación o cultura de su uso. La presente normativa tiene por objeto establecer las normas generales de uso de los recursos y servicios de las TIC de la Universidad Rey Juan Carlos, de conformidad tanto con el Esquema Nacional de Seguridad, en adelante ENS, como con las leyes administrativas vigentes, la normativa en materia de protección de datos, en particular el artículo 87.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales; la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y el Código Ético de la Universidad Rey Juan Carlos, aprobado por acuerdo del Consejo de Gobierno de 27 de septiembre de 2019. El objetivo no es solo establecer unas normas comunes de uso, sino también que sirva de guía para su utilización, que como conviene recordar, es una de las funciones de las universidades. Saber qué y cómo hacer con las TIC ayudará a la comunidad universitaria a utilizar de forma eficiente y eficaz sus recursos.

Asimismo, las normas generales recogidas en la presente normativa servirán de base para el correcto uso de los recursos TIC cuando la plantilla de la Universidad Rey Juan Carlos desempeñe sus funciones en régimen de teletrabajo, de conformidad con lo dispuesto en la legislación estatal y autonómica que regule el trabajo a distancia. Todo ello a fin de garantizar un correcto tratamiento de la información y los datos de carácter personal, en cumplimiento de la legislación aplicable en tales materias. De este modo, las nuevas formas de prestación laboral que ofrecen las TIC podrán desarrollarse en la Universidad Rey Juan Carlos garantizando unos niveles aceptables de seguridad.

 

TÍTULO I

Finalidad y ámbito de aplicación

 

Artículo 1.- Finalidad

1. La presente normativa regula la seguridad en el uso de los recursos TIC que la Universidad Rey Juan Carlos pone a disposición de las personas usuarias, definidas en el artículo 3 de la presente normativa, a efectos de garantizar, entre otros, los siguientes aspectos:

a) El adecuado desarrollo de las actividades vinculadas a la Universidad, y en particular de las funciones docente, investigadora, gestión administrativa y aprendizaje.

b) La protección de las personas usuarias y de los distintos niveles de seguridad de la información y de los sistemas dentro del marco de la Política de Seguridad de la Información de la Universidad Rey Juan Carlos.

c) La adecuada protección de los datos de carácter personal de los que sea responsable la Universidad.

d) La adecuada concienciación y formación de las personas usuarias en materia de seguridad de la información.

2. La presente normativa responde a los siguientes fines:

a) Garantizar la seguridad, el rendimiento y la privacidad de los sistemas de información y comunicación de la Universidad y, en su caso, de terceros.

b) Garantizar y proteger el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.

c) Concienciar a las personas usuarias sobre la importancia y necesidad de hacer un uso responsable de los recursos TIC en orden a la consecución de los fines y principios de actuación de la Universidad recogidos en los artículos 3 y 4 de sus Estatutos y en su Código Ético.

d) Proteger la información corporativa, en todas sus dimensiones (confidencialidad, integridad, autenticidad, disponibilidad y trazabilidad).

e) Proteger la privacidad de la información y las comunicaciones, incluyendo el trabajo de otros usuarios que utilicen los mismos recursos.

f) Minimizar el riesgo reputacional derivado de las amenazas e incidencias que afecten a la información, datos personales y recursos TIC.

g) Evitar situaciones que puedan causar a la Universidad algún tipo de responsabilidad.

 

Artículo 2.- Ámbito objetivo de aplicación

1. Los recursos TIC, cuyas condiciones de uso regula esta normativa, son los proporcionados por la Universidad. A tal efecto, tienen la consideración de activos de información de la Universidad cualquier componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, software, hardware y comunicaciones.

2. La Universidad, como propietaria de los recursos TIC, definirá y garantizará los controles mínimos para su adecuada protección con el objeto de garantizar la mejora continua que recoge el ENS.

3. La presente Normativa también será de aplicación al uso de los sistemas de información corporativos, así como al de la red de comunicaciones de la Universidad cuando la misma sea empleada por dispositivos y equipos informáticos propiedad del usuario.

 

Artículo 3.- Ámbito subjetivo de aplicación

1. La presente Normativa resulta de aplicación a los usuarios que utilicen los recursos TIC que la Universidad ponga a su disposición. A tal efecto tienen la consideración de usuarios:

a) El estudiantado: se considera estudiante cualquier persona que, estando matriculada en alguna de las titulaciones oficiales de grado, másteres oficiales, programas de doctorado, enseñanzas propias u otras enseñanzas no regladas ofertadas por la Universidad, accede a los recursos TIC puestos a su disposición en virtud de dicha condición.

b) El personal de administración y servicios (PAS): se considera PAS cualquier miembro del personal de administración y servicios de la Universidad, ya sea funcionario o personal laboral, que accede a los recursos TIC puestos a su disposición en virtud de dicha condición.

c) El personal docente e investigador (PDI): se considera PDI la persona que, teniendo la condición de personal docente e investigador conforme a la normativa vigente en la materia, ya sea personal funcionario o laboral, tiene acceso a los recursos TIC puestos a su disposición en virtud de dicha condición.

d) El personal investigador predoctoral en formación: se considera personal investigador predoctoral en formación la persona que, conforme a la normativa vigente en la materia, suscribe un contrato de trabajo con la Universidad y accede a sus recursos TIC en virtud de dicha condición.

e) El personal investigador postdoctoral: se considera personal investigador postdoctoral la persona que, estando en posesión de la titulación académica correspondiente, suscribe un contrato de trabajo con la Universidad conforme a la normativa vigente en la materia, y accede a sus recursos TIC en virtud de dicha condición.

f) Los egresados/as de la Universidad: se considera egresada la persona que ha finalizado en la Universidad los estudios conducentes a la obtención de un título universitario oficial y accede a sus recursos TIC en virtud de dicha condición.

g) El personal de proveedores: se considera personal de proveedores a cualquier persona que presta algún tipo de servicio en la Universidad, estando el mismo regulado mediante el oportuno contrato o convenio.

h) El personal vinculado, incluyendo las instituciones sociosanitarias y Hospitales en las que se imparta docencia e investigación propia de la Universidad, cuya vinculación con la misma se encuentre regulada mediante un convenio académico.

i) El personal no vinculado: se considera personal no vinculado a cualquier persona o entidad que colabora con la Universidad sin tener suscrita relación de servicio ni contractual con la misma, y accede a sus recursos TIC en virtud de dicha condición.

j) Cualquier otro colectivo o entidad determinado por la Universidad que haga uso de los recursos TIC puestos por esta a su disposición.

2. Las personas usuarias de los recursos TIC de la Universidad tendrán derecho a:

a) Recibir la información o formación indispensable para el empleo adecuado de los recursos TIC según sus funciones o necesidades.

b) Recibir información y soporte técnico sobre los incidentes de seguridad que afecten a los recursos TIC puestos a su disposición por parte de la Universidad.

c) Ver respetados sus derechos fundamentales, especialmente la dignidad de las personas, el derecho al honor, a la intimidad y a la propia imagen y al secreto de las comunicaciones.

d) Expresar su opinión acerca de los servicios TIC corporativos que reciba, y presentar sugerencias y quejas a través del procedimiento habilitado en la Sede Electrónica.

3. Las personas usuarias utilizarán los recursos TIC que la Universidad ponga a su disposición en los términos y condiciones recogidos en esta normativa, en las instrucciones y disposiciones específicas de desarrollo que se adopten y en la legislación vigente.

4. El uso de los recursos TIC que la Universidad pone a disposición de las personas usuarias comporta el conocimiento y plena aceptación por estos de las normas de uso y condiciones recogidas en la presente normativa y en las instrucciones específicas de desarrollo que pudieran adoptarse para su correcta aplicación.

5. La detección, por parte del Responsable de Seguridad, de comportamientos prohibidos indicados en esta normativa o cuando se hayan llevado a cabo actividades contrarias al ordenamiento jurídico, dará lugar a la suspensión inmediata en el uso de los recursos afectados a los usuarios implicados hasta que se subsane el motivo que lo provocó. La Universidad pondrá en conocimiento de la autoridad judicial y de las Fuerzas y Cuerpos de Seguridad del Estado aquellas conductas que puedan ser constitutivas de responsabilidad civil, penal o de otro orden que procedan en cada caso.

 

Artículo 4.- Tipos de permisos y privilegios

1. Las personas usuarias utilizarán los recursos TIC que la Universidad ponga a su disposición con los permisos que su rol lleve aparejados. A tal efecto existen dos tipos de permisos básicos:

a) Permisos de acceso al activo: permiten al usuario/a acceder a cada activo puesto a su disposición por la Universidad y ejecutar las funciones según el rol asignado.

b) Permisos de administrador/a del activo: permiten al usuario/a acceder a cada activo puesto a su disposición por la Universidad y ejecutar sus funciones, así como configurar, comprobar y restaurar su funcionamiento según el rol asignado.

2. Con carácter general, las personas usuarias tendrán únicamente permiso de acceso a los activos que la Universidad ponga a su disposición, debiendo observar las instrucciones de uso recogidas en esta normativa y en las instrucciones y disposiciones específicas de desarrollo que se adopten.

3. Los privilegios de acceso que cada usuario/a tenga en relación con los activos de información que la Universidad ponga a su disposición vendrán determinados por su rol según los siguientes criterios:

a) El colectivo al que pertenece de acuerdo con lo dispuesto en el artículo 3 de la presente normativa.

b) Las funciones específicas que desarrolle dentro del colectivo al que pertenece.

c) Las funciones que tenga formalmente asignadas en un determinado momento. Dichas funciones pueden venir especificadas por las Escuelas, Facultades, Departamentos y servicios administrativos para el correcto desempeño docente, investigador, o de gestión. En el caso de que se soliciten permisos de administrador/a de un activo, la solicitud incluirá la identidad del usuario/a que adquirirá la responsabilidad técnica, el motivo del privilegio o del permiso y su duración, que será temporal. La concesión del permiso se formalizará mediante la firma del correspondiente acuerdo de asunción de responsabilidad.

4. Las personas que tengan la responsabilidad técnica o permisos de administrador/a de un activo tendrán la consideración de responsables del activo y observarán, además de lo dispuesto en la presente normativa, las instrucciones específicas de uso que, como administrador, se adopten en cada caso, incluyendo:

a) Gestión de la seguridad, incluyendo, entre otros aspectos, gestión de actualizaciones y parches de seguridad.

b) Gestión de incidentes de seguridad, y reporte de los mismos al Área de Tecnologías de la Información y en caso necesario, al Delegado/a de Protección de Datos, incluyendo el envío de información que se le requiera, en un plazo máximo de 24 horas, antes de que se apliquen los controles y medidas cautelares necesarios.

c) Notificación de brechas de seguridad ante la Agencia Española de Protección de Datos, comunicando dichas notificaciones al Delegado/a de Protección de Datos.

d) Proactividad en el envío de la información pertinente para la gestión de las denuncias ante las Fuerzas y Cuerpos de Seguridad del Estado.

TÍTULO II

Control de acceso

Capítulo I

Autenticación de la identidad

 

Artículo 5.- Credenciales de acceso

1. Todo/a usuario/a dispondrá de credenciales de acceso que le permitan identificarse para iniciar sesión en los recursos TIC y acceder a los sistemas de información de la Universidad.

2. Las credenciales de acceso consistirán en un identificador de usuario/a y la contraseña asociada al mismo, teniendo tal contraseña carácter personal e intransferible, y podrán complementarse con otros sistemas de identificación corporativos basados en segundo factor y/o certificados digitales o cualquier otro que a futuro se incorpore.

3. La Universidad proporcionará a cada usuario/a, conforme al procedimiento habilitado al efecto, las credenciales de acceso a los recursos TIC y sistemas de información con los permisos y privilegios que aquellas lleven aparejados según el rol que tenga asignado.

4. La Universidad procederá a dar de baja las credenciales de acceso tras el cese en la condición de usuario/a, conforme al procedimiento habilitado al efecto.

5. El usuario/a custodiará y gestionará diligentemente sus credenciales de acceso, observando para ello los criterios establecidos en la presente normativa y en las instrucciones específicas que resulten de aplicación.

6. Cuando un usuario/a detecte que sus credenciales de acceso han sido utilizadas o manipuladas por un tercero no autorizado, lo pondrá inmediatamente en conocimiento del Responsable de Seguridad a través del procedimiento habilitado para la notificación de incidencias.

7. El/la usuario/a bloqueará la sesión que tuviera abierta en un recurso TIC cuando vaya a ausentarse de su puesto de trabajo, procediendo a cerrar dicha sesión cuando la ausencia se produjera durante un intervalo de tiempo prolongado.

 

Artículo 6.- Gestión segura de contraseñas

Las personas usuarias aplicarán los siguientes criterios de seguridad en la gestión de sus contraseñas de acceso:

a) No utilizar la contraseña asignada por defecto y cambiarla antes de acceder por vez primera a las aplicaciones y los sistemas de información.

b) No anotar la contraseña en soportes a los que pueda tener fácil acceso un tercero no autorizado.

c) No enviar la contraseña por correo electrónico ni a través de otros sistemas de comunicación.

d) Mantener en secreto la contraseña y evitar compartirla.

e) No hacer uso del recordatorio de contraseñas.

f) Cambiar la contraseña inmediatamente cuando se considere que su seguridad está comprometida.

g) Renovar la contraseña al menos con carácter anual. Tal periodicidad podrá verse reducida por la criticidad de la información a la que da acceso la contraseña, así como por los incidentes de seguridad que haya podido sufrir el recurso TIC o el sistema de información a los que da acceso.

h) Las contraseñas que den acceso a recursos TIC con permisos de administración, atenderán a los criterios de periodicidad de cambio recogidos en el procedimiento de dicha materia.

i) No reutilizar contraseñas antiguas.

j) Cualesquiera otros criterios para la gestión segura de contraseñas de acceso que puedan establecerse en el marco de la Política de Seguridad de la Información de la Universidad.

 

Artículo 7.- Creación de contraseñas robustas

Las contraseñas atenderán los criterios de complejidad establecidos por el Área de Tecnologías de la Información. Entre dichos criterios se encuentran los siguientes:

a) Tener una longitud mínima según lo establecido en cada caso dentro del marco de la Política de Seguridad de la Información de la Universidad.

b) Utilizar caracteres alfanuméricos, incluyendo letras mayúsculas, minúsculas y números.

c) No utilizar el identificador de usuario/a de acceso.

d) No utilizar contraseñas con variaciones mínimas respecto a una contraseña anterior.

e) Evitar incluir nombres propios, palabras sencillas en cualquier idioma o datos de carácter personal.

f) Utilizar una contraseña distinta de la empleada en la Universidad para acceder a servicios prestados por otras instituciones.

g) Las contraseñas que den acceso a recursos TIC con permisos de administración atenderán a los criterios de complejidad recogidos en el procedimiento de dicha materia.

h) Cualesquiera otros criterios de complejidad para la creación de contraseñas de acceso robustas que puedan establecerse en el marco de la Política de Seguridad de la Información de la Universidad.

Capítulo II

Control de acceso físico a determinadas áreas

Artículo 8.- Áreas de acceso restringido

1. El área de acceso restringido es aquella que, albergando recursos TIC de la Universidad con características especiales, queda sujeta a permisos específicos de acceso físico y, en su caso, registro de entrada y salida de usuarios. Tienen la consideración de áreas de acceso restringido las siguientes:

a) El Centro de Procesamiento de Datos (CPD).

b) Las salas donde se ubican servidores y racks.

c) Las salas donde se ubican las infraestructuras eléctricas que dan servicio al sistema de información de la Universidad.

d) Los despachos del Área de Tecnologías de la Información.

e) Los almacenes del Área de Tecnologías de la Información.

f) Las salas específicamente habilitadas donde se ubican recursos TIC que la Universidad pone a disposición del profesorado.

g) Cualesquiera otros lugares que, albergando recursos TIC de la Universidad, estén clasificados como áreas de acceso restringido.

2. Las personas usuarias de un área de acceso restringido se ordenarán en los tres grupos siguientes según la duración que tenga su permiso de acceso físico:

a) Usuarios/as de acceso permanente: personal que realiza habitualmente sus funciones en áreas de acceso restringido. Aunque cuentan con autorización de acceso permanente, podrán establecerse limitaciones horarias si el sistema de control de acceso lo permite.

b) Usuarios/as de acceso temporal: personal que realiza ocasionalmente sus funciones en áreas de acceso restringido, durante un período de tiempo determinado, contando para ello con una autorización de acceso temporal.

c) Usuarios/as invitados: la persona invitada accederá a las áreas de acceso restringido previa autorización y siempre acompañada por un miembro responsable de la organización que garantice la seguridad de los recursos TIC y de los distintos niveles de seguridad de la información.

3. El control de acceso físico a las áreas restringidas estará basado en alguno de los sistemas siguientes:

a) Credenciales de acceso, con usuaria/o y contraseña.

b) Token criptográfico.

c) Control biométrico.

d) Tarjeta identificativa como personal de la Universidad.

e) Cualquier otro sistema de control de acceso establecido dentro del marco de la Política de Seguridad de la Información de la Universidad, que garantice los distintos niveles de seguridad de la información y de los sistemas.

4. La presencia de personas no autorizadas en áreas de acceso restringido se pondrá inmediatamente en conocimiento del Responsable de Seguridad mediante los cauces establecidos para la notificación de incidencias a través del Centro de Atención al Usuario (CAU).

5. En cualquier caso, las personas usuarias observarán las instrucciones específicas de uso que hayan podido adoptarse para cada área concreta de acceso restringido.

 

Artículo 9.- Áreas de acceso no restringido

1. El área de acceso no restringido es aquella que, albergando recursos TIC de la Universidad, no queda sujeta a permisos específicos de acceso físico ni a registro de entrada y salida de usuarios y usuarias. Tienen la consideración de áreas de acceso físico no restringido las siguientes:

a) Las aulas de la Universidad.

b) Los laboratorios de la Universidad.

c) Los espacios de la biblioteca de la Universidad.

d) Las dependencias de la Universidad donde se presten servicios de atención al público.

e) Cualesquiera otras áreas donde se ubiquen recursos TIC de la Universidad y no estén inventariadas como áreas de acceso restringido.

2. El acceso a las áreas de acceso no restringido podrá quedar condicionado a la previa presentación del documento que acredite la identidad de una persona como usuario/a.

3. Las áreas de acceso no restringido permanecerán abiertas dentro del horario de apertura a usuarios/as que se haya establecido para cada una de ellas.

4. Fuera de su horario de apertura, las áreas de acceso no restringido permanecerán cerradas y solo tendrán acceso a ellas personal autorizado de limpieza, mantenimiento y seguridad, y aquel personal de la propia Universidad que por razones del servicio puedan ser autorizadas a tal efecto.

5. Las personas usuarias serán responsables del correcto uso que hagan de los recursos TIC que la Universidad ponga a su disposición en las áreas de acceso no restringido. En cualquier caso, observarán las instrucciones específicas de uso que hayan podido adoptarse para cada área concreta de acceso no restringido.

Capítulo III

Registros y auditorías

 

Artículo 10.- Registro de actividad

Con el fin de dar cumplimiento a los principios del Esquema Nacional de Seguridad, se registrarán las actividades de las personas usuarias en los términos y condiciones establecidos en el artículo 23 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y en sus disposiciones de desarrollo. Se realizará con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los usuarios y usuarias en cumplimiento del artículo 18 de la Constitución Española, y de acuerdo con la normativa sobre protección de datos personales y demás disposiciones que resulten de aplicación.

 

Artículo 11.- Auditorías

1. Con el fin de verificar el cumplimiento de lo dispuesto en la presente normativa se podrán llevar a cabo auditorías de seguridad a nivel técnico y organizativo, en los términos que establece el Esquema Nacional de Seguridad, en cuanto al empleo de los recursos TIC en la Universidad.

2. El informe final de la auditoría será analizado por el/la Responsable de Seguridad a efectos de adoptar, en su caso, las medidas correctoras adecuadas, poniendo su contenido en conocimiento del Comité de Seguridad de la Información para la mejora continua que recoge el Esquema Nacional de Seguridad.

 

TÍTULO III

Uso del hardware y del software

Capítulo I

Uso del hardware

 

Artículo 12.- Finalidad del hardware

El hardware que la Universidad proporcione se utilizará para el desarrollo de las funciones docente, investigadora, de gestión administrativa o aprendizaje que les son propias en su condición de usuario.

 

Artículo 13.- Uso adecuado de los equipos informáticos

1. Las personas usuarias aplicarán los siguientes criterios para un uso adecuado de los equipos informáticos que la Universidad ponga a su disposición:

a) Respetar la integridad física de los equipos informáticos.

b) Facilitar el acceso del personal técnico del Área de Tecnologías de la Información y del personal autorizado a los equipos informáticos para realizar labores de instalación, mantenimiento y reparación.

c) Evitar comportamientos de riesgo que conlleven la instalación de software dañino en los equipos informáticos.

d) Bloquear o cerrar la sesión de los equipos informáticos cuando queden fuera del alcance del usuario durante su jornada de trabajo.

e) Apagar los equipos informáticos al finalizar la jornada de trabajo, tanto por razones de seguridad como de eficiencia energética, excepto cuando deban permanecer encendidos para dar continuidad a determinadas funciones.

f) Vigilar adecuadamente los equipos informáticos portátiles en los lugares públicos para evitar que sean sustraídos o accedidos de forma no autorizada por terceros.

g) Devolver los equipos informáticos a la Universidad una vez que los usuarios finalicen la vinculación que determinó su acceso a los mismos; todo ello con el fin de proceder al borrado seguro de la información almacenada y restaurar el equipo a su estado original para ser asignado a un nuevo usuario.

h) Cumplir con los criterios establecidos en la presente normativa y en las instrucciones específicas de desarrollo que puedan adoptarse sobre almacenamiento local de información sensible en equipos informáticos.

i) Cualesquiera otros criterios que puedan establecerse sobre uso adecuado de equipos informáticos en el marco de la Política de Seguridad de la Información de la Universidad.

 

Artículo 14.- Uso adecuado de impresoras y dispositivos similares

1. Las personas usuarias harán un uso responsable de las impresoras y dispositivos similares que la Universidad ponga a su disposición siguiendo sus funciones y observando para ello los principios de economía y sostenibilidad ambiental, que conducen a la aplicación de los siguientes criterios:

a) Imprimir un documento cuando sea estrictamente necesario, dando prioridad al trabajo en soporte electrónico.

b) Imprimir preferiblemente a doble cara.

c) Evitar, siempre que sea posible, la impresión a color.

d) Optar por las impresoras en red antes que las locales.

e) Digitalizar los documentos, por ejemplo, mediante la opción de reconocimiento de caracteres, para producir documentos tratables electrónicamente.

f) Cualesquiera otros criterios que puedan establecerse sobre uso adecuado de impresoras y dispositivos similares en el marco de la Política de Seguridad de la Información de la Universidad.

2. Cuando un usuario/a localice documentación ajena con información sensible en una impresora o dispositivo similar, intentará localizar a su propietario para que la recoja inmediatamente, y si ello no fuera posible, pondrá el hecho en conocimiento del Responsable de Seguridad mediante los cauces establecidos para la notificación de incidencias a través del Centro de Atención al Usuario (CAU).

 

Artículo 15.- Uso adecuado de dispositivos electrónicos personales

Las personas usuarias aplicarán los siguientes criterios para un uso adecuado de sus equipos informáticos en la red de la Universidad:

a) Antes de conectar sus dispositivos electrónicos personales a la red de comunicaciones de la Universidad, deberían comprobar la correcta actualización de la herramienta antivirus que tengan instalada, así como el oportuno parcheado de sus sistemas operativos.

b) Quienes utilicen sus dispositivos electrónicos personales en las instalaciones de la Universidad serán los únicos responsables de las licencias de software que utilicen, así como de los contenidos y archivos que almacenen en los mismos.

 

Artículo 16.- Uso prohibido del hardware

Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad quedan expresamente prohibidas las siguientes acciones, salvo si disponen de privilegios según lo establecido en el artículo 4:

a) Alterar cualquier componente de los equipos informáticos propiedad de la universidad que ocasione daños o perjuicios en los mismos o en el sistema de información de la misma.

b) Alterar, evitar o saltarse las medidas de seguridad configuradas en los equipos informáticos.

c) Cualesquiera otras acciones que resulten contrarias a la Política de Seguridad de la Información de la Universidad.

Capítulo II

Uso del software

 

Artículo 17.- Uso adecuado del software

1. La instalación, mantenimiento, reparación y configuración del sistema operativo en los equipos electrónicos de la Universidad corresponde al personal técnico del Área de Tecnologías de la Información o al personal autorizado al efecto.

2. Las personas usuarias que, sin ser personal técnico del Área de Tecnologías de la Información, tengan permisos de administrador/a serán responsables del software que instalen en sus equipos informáticos y de las consecuencias que deriven de resultar malicioso.

 

Artículo 18.- Uso prohibido del software

Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad, quedan expresamente prohibidas las siguientes acciones en el hardware propiedad de la universidad, salvo si disponen de privilegios según lo establecido en el artículo 4:

a) Instalar o utilizar un software violando su licencia.

b) Instalar o utilizar un software que vulnere la legislación vigente en materia de propiedad intelectual.

c) No respetar los términos de uso establecidos en las licencias de software.

d) Utilizar a sabiendas cualquier tipo de software dañino.

e) Utilizar software que, por su naturaleza, haga un uso abusivo de la red de comunicaciones.

f) Eliminar o deshabilitar las aplicaciones instaladas por el Área de Tecnologías de la Información, especialmente las relacionadas con la seguridad, tales como antivirus corporativo, antispam o cortafuegos.

g) Cualesquiera otras acciones que vulneren la legislación vigente en materia de software.

TÍTULO IV

Uso de la red de comunicaciones

Capítulo I

Red de comunicaciones

 

Artículo 19.- Finalidad de la red de comunicaciones

1. La red de comunicaciones de la Universidad facilitará a los usuarios la conexión tanto a los servicios de telefonía como a la red de datos mediante la conexión de los ordenadores y otros dispositivos electrónicos.

2. Las personas usuarias utilizarán la red de comunicaciones para el desarrollo de las funciones docente, investigadora, de gestión administrativa o aprendizaje que les vinculan con la Universidad.

3. Las personas usuarias se asegurarán de cerrar correctamente la sesión tras finalizar su conexión a la red de comunicaciones.

 

Artículo 20.- Control de acceso a la red

La red de comunicaciones de la Universidad podrá establecer controles de acceso local y remoto a la misma, así como verificar la apropiada configuración de los dispositivos electrónicos conectados cuando resulte necesario para garantizar los distintos niveles de seguridad de la información y de los sistemas, garantizando en todo momento el correcto tratamiento de los datos personales y la protección de los derechos fundamentales.

 

Artículo 21.- Navegación segura

Se recomienda a las personas usuarias aplicar los siguientes criterios cuando accedan a páginas web desde la red de comunicaciones y demás recursos TIC de la Universidad:

a) Asegurar la autenticidad de las páginas web visitadas.

b) Borrar los datos de navegación periódicamente y, si fuera necesario, antes de terminar cada sesión.

c) Observar las restricciones legales sobre uso de información publicada en páginas web.

d) No instalar complementos desconocidos para acceder al contenido de determinadas páginas web.

e) No visitar páginas web de contenido ilegal.

f) Cualesquiera otros criterios que resulten de aplicación de acuerdo con la Política de Seguridad de la Información de la Universidad.

 

Artículo 22.- Uso prohibido de la red de comunicaciones

1. Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad quedan expresamente prohibidas las siguientes acciones, salvo si disponen de privilegios según lo establecido en el artículo 4:

a) Alojar o utilizar encaminadores de correo electrónico dentro de la red de comunicaciones.

b) Alojar servidores en la red de comunicaciones.

c) Conectar dispositivos electrónicos a la red de comunicaciones que modifiquen su tipología, los protocolos usados o inyecten nuevos protocolos que puedan generar inconsistencias o desestabilización en las comunicaciones.

d) Proporcionar acceso externo a la red de comunicaciones mediante la instalación de dispositivos de acceso remoto.

e) Desplegar o alojar servicios que interfieran con la asignación de direccionamiento, resolución de nombres y la autenticación de la red corporativa.

2. Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad quedan expresamente prohibidas las siguientes acciones, salvo si disponen de privilegios según lo establecido en el artículo 4:

a) Utilizar indebidamente el espectro radioeléctrico de la Universidad.

b) Utilizar las vulnerabilidades de seguridad de la red de comunicaciones para atacar los sistemas informáticos ubicados dentro o fuera de ella.

c) Alterar o manipular la integridad de los datos que circulan por la red de comunicaciones, así como la información almacenada en la red de comunicaciones o en los dispositivos electrónicos conectados a ella.

d) Alterar o manipular el historial de log que registran los dispositivos electrónicos conectados a la red de comunicaciones.

e) Aprovechar la capacidad de la red de comunicaciones para la descarga o el intercambio masivo de contenidos ajenos a la actividad universitaria, utilizando para ello programas Peer to Peer (P2P) o similares.

f) Facilitar a personas no autorizadas el acceso a la red de comunicaciones.

g) Enviar a través de la red de comunicaciones contenidos ilegales o información que contravenga los fines y principios de actuación de la Universidad recogidos en sus Estatutos. A tal efecto, tienen la consideración de contenidos ilegales o inapropiados los de carácter pornográfico, racista, xenófobo, sexista, de apología del terrorismo o que atenten contra los derechos fundamentales de las personas. También tienen la consideración de contenidos ilegales cualesquiera otros que vulneren gravemente los distintos niveles de seguridad de la información y de los sistemas de la Universidad o resulten contrarios a la legalidad vigente.

Capítulo II

Uso del correo electrónico

 

Artículo 23.- Correo electrónico

1. El correo electrónico es un servicio de red que la Universidad ofrece a las personas usuarias para enviar y recibir mensajes, así como para adjuntar ficheros a los mensajes que se envíen y no está concebido como medio para difundir información de forma indiscriminada.

2. Las cuentas de correo electrónico corporativo de la Universidad serán de tres tipos:

a) Cuentas de correo electrónico personales: las personas físicas que sean usuarios dispondrán de una única cuenta de correo electrónico personal.

b) Cuentas de correo electrónico institucionales: el rectorado, los vicerrectorados, las facultades y escuelas, los departamentos y las unidades organizativas dispondrán de cuenta de correo electrónico institucional.

c) Cuentas de correo electrónico genéricas: se podrá solicitar la creación de una cuenta de correo electrónico genérica con ocasión de la constitución de grupos de trabajo, celebración de congresos, organización de eventos o actividades similares. La solicitud irá dirigida al Centro de Atención a Usuarios, especificando las razones que la justifican, su duración prevista y la persona responsable de la misma, que tendrá relación contractual con la Universidad.

3. Los órganos de representación de los trabajadores y trabajadoras y las Secciones Sindicales dispondrán de una cuenta de correo electrónico institucional que podrán utilizar para difundir avisos e información de interés para la plantilla.

4. Los órganos de representación de los estudiantes podrán disponer de una cuenta de correo electrónico institucional que utilizarán para difundir avisos e información de interés para los y las estudiantes.

5. Las personas usuarias podrán acceder a su cuenta de correo electrónico corporativo desde la red de comunicaciones de la Universidad o desde fuera de ella.

 

Artículo 24.- Finalidad del correo electrónico

1. Las personas usuarias utilizarán el correo electrónico para el desempeño de las funciones docente, investigadora, de gestión administrativa o aprendizaje que les vinculan con la Universidad.

2. Las personas usuarias no podrán utilizar cuentas de correo electrónico distintas de la corporativa para el desempeño de las funciones que les vinculan con la Universidad.

 

Artículo 25.- Uso adecuado del correo electrónico

Las personas usuarias aplicarán los siguientes criterios para el uso adecuado del correo electrónico corporativo:

a) Revisar la barra de direcciones antes de enviar un mensaje para comprobar que los destinatarios son correctos.

b) Asegurarse de que los mensajes recibidos se reenvían únicamente a los destinatarios correctos.

c) Utilizar listas de distribución para enviar mensajes a varios usuarios/as de la Universidad de forma simultánea o a grupos de trabajo cuyos miembros comparten una misma tarea.

d) Cuando el mensaje se envíe a múltiples destinatarios/as, estos se incluirán en "copia de carbón oculta" (CCO), salvo que todos pertenezcan al mismo ámbito de trabajo y sus direcciones de correo electrónico sean las corporativas y se hayan dado a conocer en dicho ámbito.

e) Evitar el envío a través del correo electrónico de información sensible de la Universidad y de carácter personal, tal y como está definido en el artículo 30 de la presente normativa y en caso de tener que hacerlo, será con carácter excepcional, utilizando los mecanismos indicados en el artículo 34. En todo caso se observarán las disposiciones legales sobre tratamiento de categorías especiales de datos personales.

f) Asegurarse de la identidad del remitente antes de abrir un mensaje.

g) Desactivar la vista previa en los mensajes recibidos.

h) Atender regularmente el buzón de correo electrónico, manteniendo su nivel de ocupación por debajo de la cuota máxima de espacio asignada.

i) Utilizar los formatos de saludo y despedida recogidos en el "Manual de Identidad Visual Corporativa de la Universidad Rey Juan Carlos".

j) Firmar digitalmente el correo.

k) Proporcionar la dirección de correo electrónico únicamente a personas de confianza y del entorno académico que vincula al usuario con la Universidad.

l) Informar de inmediato a la persona Responsable de Seguridad mediante los cauces habilitados para la notificación de incidencias sobre la existencia de virus, la detección de un uso indebido o no autorizado en la cuenta de correo electrónico o de cualquier posible incidente de seguridad relacionado con el funcionamiento del servicio.

m) Cualesquiera otros criterios que puedan establecerse sobre uso adecuado del correo electrónico corporativo en el marco de la Política de Seguridad de la Información de la Universidad.

 

Artículo 26.- Uso inadecuado del correo electrónico

1. Las personas usuarias se abstendrán de realizar las siguientes acciones en el correo electrónico corporativo:

a) Abrir y ejecutar ficheros de fuentes no fiables, que puedan contener virus o código malicioso.

b) Abrir mensajes de spam.

c) Utilizar el buzón del correo electrónico como espacio de almacenamiento.

d) Responder a mensajes en los que se soliciten las claves de acceso.

e) Enviar o reenviar mensajes de forma indiscriminada.

f) Enviar mensajes en cadena.

g) Introducir la dirección de correo electrónico en foros de noticias o listas de correo a través de Internet, salvo que resulte necesario y se trate de un proveedor de confianza.

2. La realización de las acciones recogidas en el apartado anterior podrá dar lugar a la desactivación temporal de la cuenta de correo electrónico, así como a la aplicación de las restricciones técnicas que se estimen oportunas, sólo durante el tiempo estrictamente necesario para solventar los problemas causados, con el objeto de garantizar la protección de los usuarios/as y de los distintos niveles de seguridad de la información y de los sistemas de la Universidad.

 

Artículo 27.- Uso prohibido del correo electrónico

Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad quedan expresamente prohibidas las siguientes acciones:

a) Difundir contenidos que contravengan los fines y principios de actuación de la Universidad recogidos en sus Estatutos.

b) Difundir contenidos ilegales o inapropiados, tales como los de carácter pornográfico, racista, xenófobo, sexista, de apología del terrorismo o que atenten contra los derechos fundamentales de las personas. También tienen la consideración de contenidos ilegales los programas informáticos sin licencia, salvo que se trate de un software libre, y cualesquiera otros contenidos que vulneren gravemente los distintos niveles de seguridad de la información y de los sistemas de la Universidad o resulten contrarios a la legalidad vigente.

c) Utilizar el correo electrónico corporativo para enviar mensajes a través de un servidor de correo ajeno a la Universidad sin contar con la autorización previa y expresa del Área de Tecnologías de la Información.

d) Participar en estafas piramidales o actividades similares.

e) Suscribirse de forma indiscriminada a listas de distribución.

f) Manipular la cabecera del correo electrónico para intentar ocultar o falsear las identidades del remitente o del destinatario, la fecha, la línea de asunto o la línea received.

g) Enviar mensajes a través de la estafeta de la Universidad con direcciones de correo electrónico que no sean corporativas.

h) Enviar mensajes como perteneciente a la Universidad Rey Juan Carlos sin tener vinculación con la institución.

i) Cualquier uso del correo electrónico corporativo que pueda ser catalogado como Abuso de Correo Electrónico (ACE) por la Red Académica y de Investigación Española (RedIRIS). Un correo electrónico será catalogado como ACE cuando trascienda los objetivos habituales del servicio de correo y perjudique directa o indirectamente a la Universidad, a sus usuarios o a terceros.

Capítulo III

Uso de los espacios web

 

Artículo 28.- Dominios específicos

1. La Universidad Rey Juan Carlos tiene asociado el dominio urjc.es como dominio corporativo.

2. La creación de dominios alternativos, subdominios bajo urjc.es o asignación de nombres a servicios requerirá autorización previa del Área de Tecnologías de la Información a través del procedimiento habilitado al efecto.

TÍTULO V

Uso de la información

 

Artículo 29.- Uso adecuado de la información

1. Las personas usuarias utilizarán la información a la que accedan a través de los recursos TIC de la Universidad para el desarrollo de las funciones docente, investigadora, de gestión administrativa o aprendizaje que les son propias. Harán un uso responsable de la información, garantizando en todo momento un nivel adecuado de seguridad de acuerdo con lo dispuesto en la presente normativa y en las instrucciones específicas de desarrollo que resulten de aplicación.

2. El Área de Tecnologías de la Información será la encargada de realizar las copias de seguridad y recuperación de los datos contenidos en los servidores de almacenamiento en red y en las herramientas colaborativas de la Universidad. La información almacenada de forma local no será objeto de ningún procedimiento corporativo de copia de seguridad.

3. Se fomentará el uso y almacenamiento de la información en formato electrónico y que permita su posterior tratamiento. El usuario/a utilizará los siguientes sistemas de almacenamiento proporcionados por la Universidad:

a) Sistema de almacenamiento en servidores de la red corporativa, mediante las carpetas compartidas habilitadas en los sistemas informáticos.

b) Sistema de almacenamiento en las herramientas colaborativas de la Universidad.

c) Sistema de almacenamiento local en el disco duro de los equipos informáticos, para aquella información no sensible.

 

Artículo 30.- Información sensible

1. A efectos de lo dispuesto en la presente normativa, tiene la consideración de información sensible de la Universidad cualquier información no conocida ni accesible por la generalidad de usuarios, que ha sido objeto de medidas especiales de protección, y cuya divulgación pública puede perjudicar a la finalidad misma de la institución. Dicha información puede incluir información contenida en proyectos de investigación desarrollados dentro del ámbito de la Universidad, invenciones que puedan estar sujetas a patente, datos financieros, organizativos y tecnológicos, así como cualquier otra que esté especialmente restringida o regulada por leyes propias y que no alcancen las exigencias de publicidad e información pública previstas en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y en la Ley 10/2019, de 19 de abril, de Transparencia y Participación de la Comunidad de Madrid.

2. A efectos de lo dispuesto en la presente normativa, tiene la consideración de información sensible de carácter personal la que pertenece a una categoría especial de datos, que debido a su influencia en la intimidad requieran de una mayor protección que el resto de datos de carácter personal. Esta mayor protección se justifica en el hecho de que, debido a la información a la que se refiere este tipo de datos, el tratamiento indebido de los mismos, además de lesionar el derecho fundamental a la protección de datos, podría dañar otros derechos fundamentales. En concreto, tienen la consideración de información sensible de carácter personal las siguientes categorías especiales de datos personales:

a) Ideología u opiniones políticas.

b) Afiliación sindical.

c) Religión o convicciones religiosas.

d) Creencias o convicciones filosóficas.

e) Origen racial o étnico.

f) Orientación sexual.

g) Datos relativos a la vida sexual.

h) Datos relativos a la salud.

i) Datos genéticos.

j) Datos biométricos.

k) Cualesquiera otros datos que reciban la consideración de categorías especiales de datos personales conforme a lo dispuesto en la legislación vigente.

3. La información sensible gestionada y tratada en la Universidad tendrá asignado un responsable encargado de conceder, modificar o retirar los permisos de acceso a los usuarios.

4. Las personas usuarias que tengan acceso a información sensible aplicarán los criterios específicos de tratamiento, almacenamiento, comunicación y transmisión recogidos en la presente normativa, en las instrucciones específicas que puedan adoptarse para su desarrollo y en la legislación vigente que resulte de aplicación.

 

Artículo 31.- Tratamiento de la información sensible de carácter personal

1. Los datos personales relativos a la ideología u opiniones políticas, afiliación sindical, religión o convicciones religiosas, creencias o convicciones filosóficas, origen racial o étnico y orientación sexual no podrán ser objeto de tratamiento salvo que la persona interesada preste su consentimiento claro y expreso y concurra alguno de los supuestos recogidos en las letras b) a j) del artículo 9.2 del Reglamento General de Protección de Datos.

2. Los datos personales relativos a la vida sexual y la salud así como los datos genéticos y biométricos podrán ser objeto de tratamiento cuando la persona interesada preste su consentimiento claro y expreso o cuando concurra alguno de los supuestos recogidos en las letras b) a j) del artículo 9.2 del Reglamento General de Protección de Datos teniendo en cuenta, en su caso, lo dispuesto en el artículo 9.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

3. Antes del tratamiento de categorías especiales de datos personales se realizará una Evaluación de Impacto en la Protección de Datos, que determine los riesgos derivados del tratamiento.

4. En el tratamiento de categorías especiales de datos personales se aplicarán, al menos, las siguientes medidas de seguridad:

a) Cifrar los datos en su almacenamiento, comunicación y transmisión.

b) Llevar un registro de acceso a los datos, con indicación de la fecha de acceso y del usuario que accedió.

c) Elaborar una lista de personas autorizadas para el tratamiento.

d) Habilitar un procedimiento seguro para el tratamiento.

 

Artículo 32.- Almacenamiento de información sensible

1. Las personas usuarias que tengan acceso a información sensible podrán almacenarla en soporte informático cuando resulte estrictamente necesario y por el tiempo imprescindible para el desarrollo de sus funciones, utilizando para ello mecanismos de cifrado y los sistemas de almacenamiento siguientes:

a) Sistema de almacenamiento en servidores de la red corporativa, mediante las carpetas compartidas habilitadas en los sistemas informáticos: el usuario utilizará prioritariamente este sistema de almacenamiento.

b) Sistema de almacenamiento en las herramientas colaborativas de la Universidad: el usuario/a podrá utilizar este sistema siempre que se garantice su seguridad adecuada mediante el establecimiento de permisos de acceso, segundos factores de autenticación y cifrado cuando sean de aplicación.

c) Sistema de almacenamiento local en equipos de trabajo: el usuario/a podrá almacenar la información sensible en el equipo de trabajo puesto a su disposición por la Universidad cuando resulte imprescindible para el desarrollo de las funciones, cuente con autorización expresa para ello y siga el procedimiento habilitado al efecto.

2. Una vez finalice la vida útil de la información sensible almacenada en soporte informático, y de acuerdo con la Política de Gestión Documental y los requisitos legales en materia de preservación de la misma, los usuarios se asegurarán de borrar de forma segura la misma, comunicando tal hecho por los cauces habilitados para la notificación de incidentes.

 

Artículo 33.- Información sensible documentada en papel u otro soporte físico

1. Con el objeto de garantizar la seguridad de los distintos niveles de la información y de los sistemas de la Universidad, los documentos en papel que contengan información sensible se ajustarán a los siguientes criterios.

a) Los documentos estarán custodiados bajo llave fuera de la jornada de trabajo. Las llaves que den acceso a los lugares donde se guardan los documentos estarán igualmente custodiadas. Los lugares donde se utilicen o almacenen los documentos se cerrarán con llave cuando el usuario/a se ausente, con independencia de la duración de la ausencia.

b) Los documentos, cuando no sean utilizados, estarán almacenados en lugares seguros que permitan su correcta conservación, localización y custodia.

c) Los documentos, cuando estén siendo utilizados, no se dejarán en mesas, mostradores u otro tipo de mobiliario donde queden a la vista de personas que no deban tener acceso a su contenido.

d) Los documentos serán trasladados de un lugar de almacenamiento a otro garantizando en todo momento su debida custodia durante el traslado, evitando que terceros no autorizados accedan a su contenido o lo modifiquen.

e) Los documentos recibidos a través de un fax colectivo, o enviados a impresoras colectivas para su impresión, se retirarán de inmediato, y el usuario se asegurará de haber recogido íntegramente el documento recibido en la bandeja de salida.

f) Los documentos serán fotocopiados o impresos solo cuando resulte imprescindible para el correcto desempeño de las funciones que el usuario o usuaria tiene encomendadas.

g) Los documentos que tengan que enviarse a terceros ajenos a la Universidad irán en sobre cerrado y por correo certificado con acuse de recibo.

h) Los documentos serán utilizados por el usuario autorizado en los lugares de la Universidad habilitados al efecto, y solo podrán extraerse fuera de la Universidad previa autorización.

i) Los documentos serán desechados de forma segura una vez finalice su vida útil para evitar que terceros recuperen o accedan a su contenido. A tal efecto, los documentos no podrán depositarse en papeleras o contenedores, debiendo desecharse mediante máquinas trituradoras de papel que la Universidad ponga a disposición de los usuarios.

2. La pizarra o el flipchart donde se haya plasmado información sensible durante el transcurso de una reunión serán limpiados adecuadamente antes de abandonar la sala o de permitir que entre en ella alguien sin autorización de acceso a dicha información.

 

Artículo 34.- Transmisión de información sensible

En caso de necesidad de transmisión por vía telemática de información sensible a terceros que tengan autorización de acceso, se utilizarán mecanismos que asegure que sólo la persona destinataria autorizada dispone de la información (utilizando, por ejemplo, para ello un sistema de cifrado para garantizar que la información no sea legible y/o preferentemente cuando sea posible enlaces a la información cifrada que se encuentre almacenada en los servicios de almacenamiento en nube de la Universidad con permisos específicos para el destinatario/a) y observando en todo momento el cumplimiento de las exigencias legales en materia de protección de datos de carácter personal.

 

Artículo 35.- Uso prohibido de la información sensible

1. Con el fin de garantizar los distintos niveles de seguridad de la información y de los sistemas de la Universidad quedan expresamente prohibidas las siguientes acciones:

a) Acceder a información sensible sin contar con autorización previa.

b) Almacenar información sensible en dispositivos USB, discos duros externos y en servicios de almacenamiento en nube ajenos a la Universidad que no aseguran la privacidad de la información y el cumplimiento legal, tales como Dropbox, Google Drive u otros similares.

c) Compartir archivos que contengan información sensible, salvo que todas las personas usuarias tengan autorización de acceso a ella y esté debidamente cifrada.

d) Comunicar información sensible a terceros no autorizados.

e) Difundir o publicar información sensible sin autorización previa o incumpliendo lo dispuesto en la legislación vigente.

f) Extraer fuera de la Universidad información sensible, salvo que resulte necesario para el desarrollo de las funciones y el usuario cuente con autorización previa.

2. Las prohibiciones recogidas en el apartado anterior se harán extensibles a toda información que contenga datos de carácter personal, aun cuando no se trate de categorías especiales de datos personales.

 

Artículo 36.- Datos de carácter personal

1. Las personas usuarias que en el desempeño de sus funciones tengan acceso a datos de carácter personal, incluidas las categorías especiales de datos personales, observarán los siguientes criterios:

a) Estar debidamente formadas para garantizar que su intervención en alguna de las fases del tratamiento se ajuste a lo dispuesto en la presente normativa, en las instrucciones específicas que puedan adoptarse para su desarrollo y en la legislación vigente en materia de protección de datos de carácter personal.

b) Cumplir con los deberes de confidencialidad, sigilo y secreto respecto a los datos de carácter personal de los que se tenga conocimiento. Los deberes de confidencialidad, sigilo y secreto subsistirán aun cuando finalice la vinculación del usuario o usuaria con la Universidad.

c) Notificar inmediatamente cualquier posible incidente de seguridad del que tenga conocimiento y que pueda comportar violación de la seguridad de datos personales.

2. El/La Delegado/a de Protección de Datos, designada por la Universidad como interlocutor/a ante la Agencia Española de Protección de Datos y la autoridad autonómica de protección de datos, supervisará el correcto cumplimiento de la legislación vigente en materia de protección de datos cuando los usuarios utilicen los recursos TIC que la Universidad ponga a su disposición, pudiendo emprender las acciones que correspondan en el ámbito de sus competencias, incluida la emisión de recomendaciones y propuestas de mejora continua.

TÍTULO VI

Incidentes de seguridad

 

Artículo 37.- Identificación del incidente

1. Los recursos TIC que la Universidad pone a disposición de las personas usuarias y la seguridad del sistema de información pueden sufrir un detrimento a causa de un suceso inesperado o no deseado que será registrado como incidente de seguridad.

2. Tienen la consideración de incidentes de seguridad, entre otros, los siguientes:

a) Acceso físico o remoto no autorizado a un recurso TIC o al sistema.

b) Pérdida o robo de equipamiento TIC.

c) Distribución no autorizada, pérdida o robo de información.

d) Infección única o extendida por ejecución de código malicioso. A tal efecto tienen la consideración de código malicioso, entre otros, los virus, los gusanos, los troyanos, las bombas lógicas, los programas espía o los rootkits.

e) Daños o cambios físicos no autorizados en los recursos TIC y en el sistema.

f) Abuso de permisos, de privilegios o de política de seguridad de la información.

g) Uso no autorizado de la marca "Universidad Rey Juan Carlos" para realizar ataques de phishing.

h) Cualesquiera otros sucesos inesperados o no deseados que puedan ser considerados como incidentes de seguridad en el marco del Esquema Nacional de Seguridad.

 

Artículo 38.- Detección y reparación

1. Identificado un incidente de seguridad, se adoptarán las medidas necesarias para tratar de contenerlo y mitigar sus efectos dañinos.

2. Se habilitarán los procedimientos para reparar cada tipo de incidente, incluyendo, al menos, las siguientes acciones:

a) Identificar el vector de fuga de la información.

b) Recoger las evidencias, manteniendo la cadena de custodia para garantizar su integridad.

c) Realizar un análisis forense cuando resulte necesario.

d) Estimar el tiempo de resolución del incidente.

e) Ejecutar las acciones concretas para tratar de reparar el incidente.

 

Artículo 39.- Notificación

1. Sin perjuicio de la existencia de mecanismos para la detección automática de incidentes de seguridad y de los sistemas de alertas que informen en tiempo real sobre ello, las personas usuarias que detecten un posible incidente de seguridad lo pondrán inmediatamente en conocimiento del Responsable de Seguridad mediante los cauces establecidos para la notificación de incidencias, con el fin de identificarlo, detenerlo y mitigar sus efectos, y recuperar el sistema de la forma más rápida y eficiente posible.

2. La Universidad notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

3. Los incidentes de seguridad que comporten violación de la seguridad de datos personales serán notificados, en todo caso, al Responsable de Seguridad y al Delegado/a de Protección de Datos.

4. La Universidad notificará a la Agencia Española de Protección de Datos aquellos incidentes de seguridad que comporten violación de la seguridad de datos personales con riesgo para los derechos y libertades de las personas físicas, siguiendo la normativa de aplicación existente. La notificación se articulará en los términos establecidos en el artículo 33 del Reglamento General del Protección de Datos.

5. Cuando un incidente de seguridad comporte violación de la seguridad de datos personales con alto riesgo para los derechos y libertades de las personas físicas, la Universidad lo notificará, además de a la Agencia Española de Protección de Datos, al interesado. La notificación se articulará en los términos establecidos en el artículo 34 del Reglamento General del Protección de Datos.

 

Artículo 40.- Registro y mejora continua

1. El/la Responsable de Seguridad se encargará de gestionar el registro de incidentes de seguridad.

2. Cada incidente de seguridad será registrado conforme al procedimiento habilitado al efecto, incluyendo, al menos, la siguiente información:

a) Fecha y hora de detección del incidente.

b) Categorización del incidente según su gravedad y prioridad de tratamiento.

c) Recursos TIC afectados por el incidente.

d) Posible causa del incidente.

e) Estado actual del incidente.

f) Acciones realizadas para resolver el incidente e identificación del personal técnico que las ejecutó.

g) Fecha y hora de resolución y cierre del incidente.

3. El registro de incidentes de seguridad se empleará para la mejora continua de la Política de Seguridad de la Información de la Universidad.

4. Se adoptarán las medidas necesarias para incorporar formación y concienciación en materia de seguridad de la información, y especialmente en la línea de los incidentes encontrados.

DISPOSICIONES ADICIONALES

 

Primera.- Denominación

1. Las referencias a "la Universidad" se entienden hechas a la Universidad Rey Juan Carlos.

2. Las referencias a la "red de comunicaciones" se entienden hechas a la red de comunicaciones de la Universidad Rey Juan Carlos.

3. Las referencias al "Reglamento General del Protección de Datos" se entienden hechas al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

 

Segunda.- Modificación y desarrollo

1. El contenido de la presente normativa podrá modificarse y actualizarse a la vista de la evolución de la tecnología y de los cambios normativos que acontezcan con posterioridad a su publicación y entrada en vigor. Para realizar dicha modificación y actualización se contará con los representantes de los trabajadores en los mismos términos que los referidos a su elaboración primera, y contenidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

2. Los procedimientos, instrucciones y directrices para el correcto desarrollo y aplicación de la presente normativa serán adoptados en los términos establecidos por la Política de Seguridad de la Información de la Universidad.

 

Tercera.- Entrada en vigor

La presente normativa entrará en vigor al día siguiente de su publicación en el Boletín Oficial de la Universidad de Rey Juan Carlos quedando derogadas cuantas normas de igual o inferior rango se opongan a la presente normativa.