Legislación de la Comunidad de Madrid

RESOLUCIÓN de 5 de marzo de 2019, del Rectorado de la Universidad Rey Juan Carlos, por la que se aprueba la Normativa de Uso de los Recursos TIC de la Universidad Rey Juan Carlos. ([1])

 

 

 

En ejercicio de las atribuciones que le confieren los artículos 20.1 de la Ley Orgánica 6/2001, de Universidades, y 81.1.q) de los Estatutos de la Universidad Rey Juan Carlos, aprobados mediante Decreto 22/2003, de 27 de febrero, del Consejo de Gobierno de la Comunidad de Madrid, modificados por Decreto 28/2010, de 20 de mayo, del citado Consejo de Gobierno, este Rectorado

 

RESUELVE

Preámbulo

Las Tecnologías de la Información y de las Comunicaciones (TIC) proporcionan acceso y recursos dentro y fuera del ámbito de la Universidad Rey Juan Carlos (URJC), y permiten la comunicación con usuarios de todo el mundo.

La URJC promueve y estimula el uso de las TIC, respeta la privacidad de los usuarios y asume como principio que la comunidad universitaria hace un uso eficaz, ético y legal de los recursos que la institución pone a su disposición.

La presente normativa se sitúa dentro del marco jurídico definido por los siguientes preceptos legales:

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, modificado por el Real Decreto 951/2015, de 23 de octubre.

─ Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales, y garantía de los derechos digitales.

─ Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

─ Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

─ Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

─ Ley 34/2002, de 11 de julio, de servicios de sociedad de la información y comercio electrónico.

En concreto, el art. 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, prevé que:

1. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

Por ello, son objetivos de la presente normativa:

1. Proteger el prestigio y el buen nombre de la URJC.

2. Garantizar la seguridad, rendimientos y privacidad de los sistemas y comunicaciones tanto de la URJC como de terceros, todo ello sin perjuicio de la actividad docente e investigadora.

3. Evitar situaciones que puedan causar a la URJC algún tipo de responsabilidad de naturaleza civil, administrativa o penal.

4. Concienciar a los usuarios de la necesidad de hacer un uso correcto de los recursos y colaborar para que estos sirvan eficazmente a los fines propios de la Universidad.

Asimismo, por Resolución del Rector de fecha 7 de mayo de 2018, se aprobó la Política de Seguridad de la Información, cumpliendo así la exigencia del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Dicha política prevé en su punto 6 el desarrollo normativo de aspectos específicos de la misma. Uno de los aspectos más importantes de la gestión de la información corporativa es el usuario final del sistema.

Así, en aplicación de los mencionados preceptos legales, el Rector de la Universidad Rey Juan Carlos, de conformidad los artículos 76 y 81 de sus Estatutos, aprobados por Real Decreto 22/2003, de 27 de febrero, y modificados por Decreto 28/2010, de 20 de mayo, acuerda aprobar la normativa de uso de los recursos TIC de la Universidad Rey Juan Carlos.

TÍTULO I

Disposiciones generales

Artículo 1.- Objeto y ámbito de aplicación

1. La presente normativa tiene por objeto regular el uso adecuado de los recursos TIC de la URJC, con el fin de garantizar que los mismos sean utilizados para el desarrollo de las funciones y competencias propias de la misma, conforme a la normativa general vigente. Esta normativa debe ser compatible con el adecuado desarrollo de las funciones docente e investigadora en la universidad, para cuyo desempeño se requiere la utilización de recursos TIC.

2. La presente normativa será de aplicación a toda la comunidad universitaria, así como a todas aquellas personas que hacen uso de los recursos de TIC proporcionados por la Universidad, o que disponen de Sistemas o Redes conectadas directa o indirectamente a la Red URJC. En adelante, estas personas se denominarán "usuarios".

3. Esta normativa es de aplicación a todos los sistemas centrales, sistemas departamentales, estaciones de trabajo, PC, impresoras, redes internas y externas, sistemas multiusuario, servicios de comunicaciones, y demás recursos que sean propiedad de la Universidad y a aquellos dispositivos que estén conectados a la red de la URJC.

TÍTULO II

Uso de los Recursos TIC

Capítulo I

Uso de los Recursos Informáticos

Artículo 2.- Uso de los Recursos Informáticos

1. El equipamiento, dispositivos, programas, información y servicios informáticos que la URJC pone a disposición de los usuarios deben utilizarse para el desarrollo de las funciones profesionales o académicas propias de su puesto de trabajo o actividad.

2. Los usuarios deben tener en cuenta que, por razones de mantenimiento y seguridad, así como por obligación legal derivada del artículo 23 del Esquema Nacional de Seguridad, los Sistemas de Información y la propia información que albergan, serán objeto de inventario y monitorización por el Área de Tecnologías de la Información, que guardará los correspondientes registros informáticos durante los plazos necesarios o legalmente establecidos.

Artículo 3.- Uso autorizado del equipamiento informático

1. Los equipos propiedad de la universidad se utilizarán para fines institucionales, y como herramienta de apoyo a las competencias profesionales y académicas de los usuarios autorizados.

2. Los usuarios:

a) Facilitarán al personal de soporte técnico el acceso a sus equipos para labores de reparación, instalación o mantenimiento.

b) Evitarán comportamientos de riesgo para impedir el acceso y difusión de programas maliciosos en los equipos.

c) Apagarán los equipos al finalizar la jornada laboral, tanto por seguridad como por eficiencia energética. Asimismo, los equipos se podrán apagar remotamente siguiendo las políticas establecidas de ahorro del gasto energético. Se establecerán restricciones sobre este punto en aquellos equipos que por labores de investigación o académicas no puedan ser apagados.

d) Bloquearán la sesión, con contraseña, tras un periodo de inactividad o abandono del equipo.

Artículo 4.- Administración e instalación de software en los servidores y equipos informáticos

1. Es responsabilidad de los miembros del Área de Tecnologías de la Información la instalación, administración y mantenimiento del equipamiento de usuario, garantizando en todo momento el cumplimiento de la presente normativa. Con el fin de evitar la entrada de programas maliciosos en los equipos informáticos, los usuarios no tendrán permisos de administración sobre los mismos. De manera excepcional, se podrán delegar dichas capacidades a los usuarios que lo soliciten y acepten de forma explícita las responsabilidades que conlleva, garantizando en todo momento el cumplimiento de esta normativa.

2. Los servidores adquiridos por departamentos, áreas o grupos de investigación deberán ser administrados por técnicos designados por estas unidades de forma explícita, notificando de forma oportuna tales designaciones al Responsable de Seguridad. Asimismo, deberán estar actualizados en cuanto a parches de seguridad, actualizaciones de sistema operativo, disponer de software antivirus y cortafuegos (firewall). Igualmente se ubicarán en localizaciones físicas protegidas, salvo por causa justificada o acreditada por el responsable del activo.

3. Para los equipos que contengan información sensible, confidencial o protegida de la Universidad, se establecerá por el Responsable de Seguridad su tipo de configuración y el nivel de acceso a redes internas y externas de forma que se garantice la seguridad de dicha conexión.

Artículo 5.- Dispositivos portátiles

Cuando algún miembro de la comunidad universitaria haga uso de un dispositivo portátil, este deberá tomar las siguientes precauciones:

a) Vigilar adecuadamente el dispositivo portátil en los lugares públicos, con el objeto de evitar su robo.

b) Abstenerse de almacenar información sensible, confidencial o protegida en los ordenadores u otros dispositivos portátiles, cuando no sea estrictamente necesaria para su desempeño profesional, así como eliminar periódicamente datos innecesarios.

c) Nunca almacenar contraseñas en archivos de texto ni en los navegadores de internet.

d) Tener actualizado y protegido convenientemente el equipo, conforme a las recomendaciones del Área de Tecnologías de la Información de la URJC.

e) Conectarse semestralmente a la red corporativa, bien localmente o bien mediante VPN (Red privada virtual), para permitir la actualización de aplicaciones, sistema operativo, programa antivirus y demás medidas de seguridad.

f) Cuando se traten datos de nivel alto de seguridad (ideologías políticas, afiliaciones sindicales, creencias religiosas, origen racial, datos sobre la salud o la vida sexual, infracciones penales y administrativas, y en general todas aquellas catalogadas como tal en las normativas de protección de datos), el usuario deberá tener cifrado el disco duro del ordenador, así como disponer del software que garantice un arranque seguro, y tener activados los mecanismos de registro de accesos propios del sistema operativo capaces de crear un registro por cada fichero extraído del sistema por cualquier medio.

Capítulo II

Uso de las Comunicaciones

Artículo 6.- Uso de las Comunicaciones

1. El acceso a la red de comunicaciones de la Universidad Rey Juan Carlos estará restringido a los usuarios a los que hace referencia el artículo 1 de la presente normativa.

2. La red de comunicaciones de la Universidad Rey Juan Carlos es para el uso exclusivo de las tareas que autorice la universidad. Por ello, cuando así lo exija un requerimiento legal, por razones de emergencia o necesidad, la universidad podrá llevar a cabo revisiones de aquella información que circule por dicha red, todo ello con el adecuado respeto a los derechos y libertades de los usuarios, a la normativa de protección de datos de carácter personal y sin vulnerar el derecho al secreto de las comunicaciones.

3. Todos los usuarios de la red de comunicaciones de la Universidad Rey Juan Carlos tendrán la obligación de cooperar con el Área de Tecnologías de la Información:

a) En las tareas de mantenimiento del inventario de los recursos, en su disposición y uso.

b) En las tareas de diagnóstico, que faciliten la resolución de las incidencias técnicas que se puedan producir.

4. Será de aplicación a los usuarios de la red de la Universidad Rey Juan Carlos, las políticas de uso de red establecidas por RedIRIS y REDIMadrid, debido a la pertenencia de la URJC a dichas redes.

5. Únicamente se permitirá la conexión a la red, tanto cableada como inalámbrica, de comunicaciones de la Universidad Rey Juan Carlos, a aquellos dispositivos y terminales que cumplan con los requisitos básicos de seguridad, salvo en las redes especialmente habilitadas para ello.

Capítulo III

Uso de Herramientas de Colaboración Institucionales

Artículo 7.- Uso de Herramientas de Colaboración Institucionales

1. Todos los usuarios que lo precisen para el desempeño de su actividad, dispondrán de una cuenta de correo electrónico proporcionada por la Universidad.

2. Los usuarios del correo electrónico institucional deberán:

a) Asegurarse de que los reenvíos de mensajes previamente recibidos se transmitan únicamente a los destinatarios apropiados.

b) Hacer un uso eficiente en los envíos de correo: agrupar los envíos a múltiples destinatarios en un solo mensaje, evitar la incorporación de firmas escaneadas, imágenes y fondos de tamaño excesivo como formato habitual de los correos, ya que incrementan innecesariamente el tamaño y volumen de los mismos.

c) Vaciar los buzones de correo cuando se esté alcanzando su límite de almacenamiento. El sistema indicará cuándo se encuentra al límite de su capacidad, tras el cual no se permitirá enviar y recibir correos.

d) Evitar intercambiar o descargar ficheros voluminosos. El sistema evitará el intercambio de correos de tamaños superiores a lo establecido por el Área de Tecnologías de la Información de acuerdo a los recursos disponibles.

e) Evitar abrir anexos de mensajes, enlaces a páginas, ni ficheros sospechosos de los que no se conozca su procedencia. Incluso cuando se conozca la dirección origen se deberá asegurarse que los enlaces y ficheros son seguros.

Capítulo IV

Uso de la información

Artículo 8.- Uso aceptable de la información

1. La Comunidad Universitaria deberá contemplar las siguientes medidas en la manipulación de aquella información que forme parte de las funciones propias de su puesto de trabajo:

a) La información contenida en los Sistemas de Información o que circule por sus redes de comunicaciones debe ser utilizada fundamentalmente para el cumplimiento de las funciones profesionales y académicas del usuario.

b) Los usuarios sólo podrán acceder a la información sensible, confidencial o protegida para la que posean autorización explícita, manteniendo absoluta reserva sobre la misma.

c) Se evitará almacenar información sensible, confidencial o protegida en medios desatendidos o dejar visible tal información en la misma pantalla del ordenador. Los documentos en papel que contengan este tipo de información, deben custodiarse bajo llave.

d) Los usuarios deberán almacenar sus ficheros de trabajo en las carpetas de red o repositorios colaborativos que le hayan sido asignadas, que son sobre las que se realizan copias de seguridad. Con carácter general se evitará que la información resida de forma local en el puesto de trabajo dado que la universidad no realizará copias de seguridad del puesto de usuario.

e) Solo deberá salvaguardarse la información que se considere estrictamente necesaria, haciendo un uso razonable de la capacidad de almacenamiento disponible.

f) Cuando se utilicen equipos de manipulación de documentos, se retirarán inmediatamente los documentos en papel, tanto los originales como sus copias de los equipos.

g) Cualquier tratamiento en los Sistemas de Información deberá ser conforme con la normativa vigente, especialmente con lo dispuesto en la normativa sobre Protección de Datos de Carácter Personal.

h) Solamente se transmitirán fuera de la universidad datos sensibles, confidenciales o protegidos, en el ejercicio de las funcionales o competencias legalmente atribuidas y con respeto a la normativa de datos de carácter personal. En este caso se cifrarán o se utilizará cualquier otro mecanismo que garantice que la información no sea inteligible durante su remisión o transporte.

i) Cuando concluya la vida útil de los documentos impresos con información sensible, confidencial o protegida, deberán ser eliminados en las máquinas destructoras disponibles de forma que no sea recuperable la información que pudieran contener.

j) Los soportes de información que deban ser destruidos o vayan a ser reutilizados se procesarán de tal manera que no pueda revertirse la información contenida en ellos.

k) No se almacenará información sensible, confidencial o protegida en medios de almacenamiento ajenos a la Universidad (p. ej. Dropbox, Google Drive, etc.). Asimismo, se deberá evitar el uso de dispositivos USB para almacenar información, usando en su lugar el repositorio institucional o las carpetas de red.

l) Los ficheros de carácter temporal, generados a partir de un fichero general con datos de carácter personal, deberán ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación. Mientras estén vigentes deberán ser almacenados en la carpeta habilitada por el Área de Tecnologías de la Información, y si transcurrido un mes el usuario detecta la necesidad de seguir utilizando la información almacenada en el fichero, deberá comunicárselo al Responsable de Seguridad para que implemente el cifrado u otro mecanismo que salvaguarde la integridad y privacidad de la información.

Capítulo V

Control de acceso a los recursos

Artículo 9.- Control de acceso

Todo usuario dispondrá de unas credenciales, usuario y contraseña, que serán personales e intransferibles, con los que se realizará el inicio de sesión y el acceso a los sistemas de información a los que esté autorizado. Es responsabilidad del usuario custodiar las credenciales que se le proporcionen y seguir todas las recomendaciones de seguridad que elabore la URJC, para garantizar que aquellas no puedan ser utilizadas por terceros. En caso de detectar que sus credenciales pueden estar siendo utilizadas o manipuladas por otra persona, deberá poner este hecho inmediatamente en conocimiento del Responsable de Seguridad.

Artículo 10.- Acceso físico a las áreas públicas

1. El acceso a las áreas públicas no está restringido. En estas áreas no se ubicarán equipos o información sensible, confidencial o protegida a la que puedan acceder terceras personas no autorizadas.

2. En aquellas áreas en las que se lleven a cabo funciones de atención a usuarios, no se mantendrán documentos sobre las mesas y en las pantallas, que no deban ser visibles por terceros sin autorización. Debe mantenerse especial precaución en zonas en las que se trate información sensible o confidencial y, en los casos en los que se manejen datos de carácter personal, observar las medidas de seguridad aplicables.

Artículo 11.- Acceso físico a las áreas restringidas

1. Para el acceso a las áreas restringidas (centros de datos, salas de servidores, etc.), será necesario obtener autorización previa del Director del Área de Tecnologías de la Información, o director del centro responsable del espacio físico.

2. En el caso de que visitantes o personal no autorizado deba acceder a las instalaciones o a la información, deberá estar siempre acompañado por un miembro responsable y autorizado de la organización que controlará en todo momento que la seguridad de los recursos esté garantizada.

Artículo 12.- Acceso a los sistemas de información

1. Cada sistema cuenta con un mecanismo de control de acceso. Para entrar, siempre será necesario autenticarse ante el sistema con las claves de acceso que se le proporcionen al usuario para ello.

2. Los usuarios tienen las siguientes obligaciones respecto a la gestión y utilización de sus claves de acceso:

a) Custodiar las claves diligentemente, velando por preservar la confidencialidad de las mismas, por lo que no se anotarán en soportes accesibles a otros usuarios.

b) Cerrar su cuenta al terminar la sesión o bloquear el equipo cuando lo dejen desatendido.

c) Las claves de acceso se crearán y utilizarán de acuerdo con las siguientes pautas:

─ Ser suficientemente complejas y difícilmente deducibles por terceros, evitando emplear como contraseña el propio identificador.

─ Tener un mínimo de caracteres y combinaciones alfanuméricas según establezca el Responsable de Seguridad de la Información en función del contexto, estándares o las normas que se establezcan en cada momento. Se evitará utilizar como contraseña palabras contenidas en los diccionarios, al ser estos usados para la realización de ataques de usurpación de claves.

─ Se evitará utilizar como contraseña palabras sencillas o relacionadas con el usuario tales como el nombre propio, el DNI, la matrícula del coche, la fecha de nacimiento, etc.

─ Serán renovadas periódicamente según los plazos que se determinen en su caso.

─ Serán distintas, por lo menos, a las tres contraseñas anteriores.

─ Se evitará utilizar la misma contraseña para los servicios de la URJC y servicios ajenos a la misma.

─ En el caso de que participen otras personas en su creación o distribución, deben ser cambiadas obligatoriamente, la primera vez que el usuario la utilice.

─ El usuario deberá proceder a cambiar la contraseña de forma inmediata en el caso de que se haya visto comprometida o se sospeche que lo puede haber sido, se olvide de ella o se le bloquee el acceso tras varios intentos fallidos.

Capítulo VI

Alta y baja de credenciales institucionales

Artículo 13.- Alta de credenciales institucionales

Con carácter general, cuando se incorporen efectivos de personal o estudiantes a la Universidad Rey Juan Carlos, de forma automática se procederá a dar de alta las credenciales y accesos correspondientes, de acuerdo con el procedimiento de gestión habilitado al efecto. Por decisión rectoral motivada podrán ampliarse los supuestos de alta a determinados servicios a otros colectivos, tales como alumno, colaboradores honoríficos, etc.

Artículo 14.- Baja de credenciales institucionales

Cuando se extinga la vinculación profesional o académica de un usuario con la Universidad, con carácter general se procederá a dar de baja su cuenta institucional y los accesos correspondientes, de acuerdo con el procedimiento de gestión habilitado al efecto.

Capítulo VII

Incidencias de seguridad

Artículo 15.- Incidencias de seguridad

1. Cuando un usuario detecte cualquier anomalía o incidencia de seguridad que pueda comprometer el buen uso y funcionamiento de las instalaciones o los sistemas de Información de la URJC, deberá informar al Responsable de Seguridad.

2. El Responsable de Seguridad se encargará de que se registren debidamente los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan, informando al Comité de Seguridad de la Información para tomar las acciones organizativas y legales que apliquen en cada caso.

3. Estos registros se emplearán para la mejora continua de la seguridad del sistema.

4. Entre otros, tienen la consideración de incidencia de seguridad que afecta a los sistemas de información, los siguientes supuestos:

─ Pérdida de contraseñas de acceso a los Sistemas de Información.

─ Uso indebido de contraseñas.

─ Acceso no autorizado de usuarios a ficheros excediendo sus perfiles.

─ Pérdida de soportes informáticos con datos de carácter personal.

─ Pérdida de datos por mal uso de las aplicaciones.

─ Ataques a los activos de sistemas y tecnologías de información.

─ Infección de los sistemas de información por virus u otros elementos dañinos.

─ Fallo o caída de los Sistemas de Información, etc.

Capítulo VIII

Responsabilidades y compromisos de los usuarios

Artículo 16.- Responsabilidades y compromisos de los usuarios

1. Cada usuario es responsable del equipamiento que la Universidad le ha confiado para el desarrollo de sus funciones profesionales.

2. Las labores de instalación, mantenimiento, reparación, configuración del sistema operativo, y manipulación de los mecanismos de seguridad, se realizarán por el personal técnico del Área de Tecnologías de la Información o personal autorizado a tal fin, debiendo los usuarios respetar la integridad de los equipos, sin ocasionar daños físicos o lógicos por un uso negligente de los mismos.

3. El Área de Tecnologías de la Información se encargará de las copias de seguridad y recuperación de los datos contenidos en el sistema de almacenamiento centralizado. Los usuarios deberán almacenar sus ficheros de trabajo en las carpetas de red que le hayan sido asignadas, que son sobre las que se realizan copias de seguridad.

4. Todo usuario deberá proteger la información sensible, confidencial o protegida, evitando su envío no autorizado al exterior, incluyendo la visualización de la misma por personal no autorizado.

5. Los usuarios se comprometen a no acceder a los sistemas y recursos de la URJC para desarrollar actividades que persigan o tengan como consecuencia:

─ El uso intensivo de recursos de proceso, memoria, almacenamiento o comunicaciones, para usos no profesionales.

─ La degradación de los servicios.

─ La destrucción o modificación no autorizada de la información, de manera premeditada.

─ La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.

─ El deterioro intencionado del trabajo de otras personas.

─ Dañar intencionadamente los recursos informáticos propios o ajenos.

─ Efectuar cualquier tratamiento con los datos suministrados por la universidad o recibidos de terceros, para finalidades distintas del cumplimiento de la función encomendada a su puesto de trabajo.

─ El tratamiento de los activos de información de manera contraria a las pautas definidas por la universidad.

─ Alterar, evitar o saltarse las medidas de seguridad informática configuradas en el equipo entregado.

6. En el caso de que los usuarios tengan permisos de administrador en sus equipos, el usuario será responsable del software que se instale y de las consecuencias que se pueden derivar si este software resulta ser malicioso.

7. Los usuarios, incluidos los de terceras partes, deberán devolver todos los activos de la Universidad que estén en su posesión y responsabilidad, y que le fueron confiados para el desarrollo de sus funciones profesionales, una vez finalice la prestación de servicios, actividades y responsabilidades que le otorgaron tal acceso.

Capítulo IX

Registros de accesos y auditoría

Artículo 17.- Registros de accesos y auditoría

1. Será de aplicación, respecto de los accesos y registros de las actividades de los usuarios de los recursos TICs de la Universidad Rey Juan Carlos, lo dispuesto en el artículo 23 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

2. En cumplimiento de lo establecido en la normativa vigente, tales acciones se llevarán a cabo mediante la aplicación de auditorías internas o externas, programas y herramientas de preservación de la seguridad de los equipos, las redes de comunicaciones y los demás recursos de la Universidad, y con pleno respeto a la normativa sobre privacidad de las comunicaciones.

3. Asimismo, la Universidad Rey Juan Carlos, en cumplimiento de lo dispuesto en la normativa de Protección de Datos de Carácter Personal, registrará los accesos que sus usuarios realicen o intenten realizar a los ficheros con datos de carácter personal. Los accesos podrán ser revisados y controlados por los responsables de la información, en el supuesto de que se produzcan accesos no autorizados o mal uso de la información, con el fin de poder determinar las responsabilidades en las que, en su caso, hayan podido incurrir los miembros de la comunidad universitaria.

TÍTULO III

Usos prohibidos de los Recursos TIC

Capítulo I

Usos prohibidos de los equipos informáticos

Artículo 18.- Usos específicamente prohibidos de los equipos informáticos

Salvo autorización previa y expresa por parte de la Universidad, las siguientes actuaciones están expresamente prohibidas:

a) Alterar cualquier componente físico o lógico o la configuración de los equipos que pueda provocar un perjuicio en los mismos o en la infraestructura tecnológica de la universidad.

b) Instalar o utilizar programas sin licencia de uso o que vulneren la legislación vigente en materia de Propiedad Intelectual.

c) Utilizar cualquier tipo de software dañino, que pueda provocar un perjuicio en los recursos o en la infraestructura tecnológica de la universidad.

d) Utilizar programas que, por su naturaleza, hagan un uso abusivo de la red.

e) Utilizar indebidamente el espectro radioeléctrico de la URJC.

f) No respetar los términos establecidos en las correspondientes licencias de uso de programas y aplicaciones informáticas.

g) Hacer un uso abusivo de los servicios de impresión.

Capítulo II

Usos prohibidos de las comunicaciones

Artículo 19.- Usos específicamente prohibidos de las comunicaciones

Las siguientes actuaciones están explícitamente prohibidas:

a) Utilizar los recursos de manera ilícita o ilegal; y particularmente difundir contenidos de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo o que lesionen o puedan lesionar derechos humanos, o actuar en perjuicio de los derechos a la intimidad, al honor o a la propia imagen o a la dignidad de la persona.

b) Utilizar los recursos proporcionados por la universidad para difundir manifestaciones o referencias falsas, incorrectas e inexactas sobre la misma.

c) Suplantar la identidad de un usuario de internet, correo electrónico o cualquier otra herramienta colaborativa, salvo al personal técnico expresamente autorizado en relación con las funciones de su puesto, garantizando, en todo caso, la privacidad de los datos consultados.

d) Descargar programas informáticos o ficheros con contenido dañino que supongan una fuente de riesgos para la organización.

e) La utilización de aplicaciones o herramientas (especialmente, el uso de programas de intercambio de información, P2P) para la compartición de archivos, programas u otro tipo de contenido, salvo autorización expresa del Área de Tecnologías de la Información.

f) Realizar actividades que pongan en peligro la integridad o seguridad de la Información disponible en la red.

g) Realizar de forma intencionada acciones cuyo fin sea la obtención de claves, permisos o algoritmos de cifrado distintos a los asignados, así como revelar identificadores o contraseñas, o permitir que sea difundida información que facilite el acceso no autorizado a cualquier sistema de la universidad.

h) Usar herramientas para averiguar información para la que no se tiene permiso de acceso.

i) La alteración de la integridad de los datos que circulen por la red de comunicaciones de la Universidad Rey Juan Carlos, o que se encuentren contenidos en alguno de los equipos conectados a la misma, así como alterar o manipular registros o log de manera que se falseen sus resultados.

j) La conexión de equipos a la red de comunicaciones de la Universidad Rey Juan Carlos sin autorización previa del Área de Tecnologías de la Información, en especial de aquellos que modifiquen la topología (diseño físico) de la misma (repetidores, módems, enrutadores, pasarelas), salvo autorización particular, expresa y escrita de la citada Área.

k) La conexión a la red de comunicaciones de la Universidad Rey Juan Carlos de equipos que utilicen direcciones IP no autorizadas, o el uso de protocolos de comunicación sin previo consentimiento expreso por parte del Área de Tecnologías de la Información.

l) La utilización de «agujeros» en la seguridad de la red y/o de los sistemas informáticos de la Universidad Rey Juan Carlos o de fuera de ella, o el uso de estos sistemas para atacar a cualquier otro sistema informático de dentro o fuera de la red de comunicaciones de la Universidad Rey Juan Carlos.

m) La creación, instalación, difusión o uso de programas, elementos perturbadores o informaciones que puedan ser utilizados para atacar a sistemas informáticos de la red de comunicaciones de la Universidad Rey Juan Carlos, o a sistemas informáticos que se encuentren fuera de ella.

n) Facilitar el acceso a los recursos de red a personas no autorizadas.

ñ) Proporcionar acceso externo desde la propia red de comunicaciones, mediante la instalación de dispositivos de acceso remoto, salvo expresa autorización del órgano competente en esta materia.

o) La instalación de servidores telemáticos o de otro tipo (web, correo, etc.), sin la autorización pertinente y las medidas de seguridad adecuadas.

Capítulo III

Usos prohibidos de las herramientas de colaboración institucionales

Artículo 20.- Usos específicamente prohibidos del correo electrónico institucional

Se prohíbe el uso del correo electrónico institucional para los siguientes fines:

a) Transmitir, distribuir o almacenar cualquier material ilegal, pornográfico, difamatorio o discriminatorio, programas informáticos (software) sin licencia, material que vulnere derechos de propiedad intelectual, o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios y a los propios sistemas de información de la Universidad.

b) Distribuir o facilitar la distribución de mensajes no deseados (spam) y la participación en cadenas de mensajes electrónicos.

c) Responder a mensajes en los que se soliciten las claves de acceso al correo electrónico.

d) Acceder a un buzón de correo electrónico distinto del propio, salvo autorización expresa del propietario del mismo o en su presencia.

e) Difundir la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional o académica del usuario.

f) El uso indiscriminado o personal de listas de distribución (listas de usuarios de correo electrónico, etc.).

g) Falsificar las cabeceras del correo electrónico.

h) Utilizar las cuentas de correo corporativas de la URJC para el envío de publicidad.

i) Enviar mensajes a través de la estafeta de la URJC con direcciones de origen que no sean "urjc.es".

j) En el caso de envíos a múltiples destinatarios cerciorarse de que los mismos van en copia oculta, especialmente si se incorporan direcciones personales de los trabajadores o estudiantes. La excepción a este punto se da en el uso de direcciones corporativas, derivándose de una finalidad de gestión y desarrollo de la actividad propia de la institución.

k) La puesta en servicio de servidores de correo dentro de la red de la URJC, salvo autorización expresa del Área de Tecnologías de la Información.

Capítulo IV

Usos prohibidos de la información

Artículo 21.- Usos específicamente prohibidos de la información

Sin perjuicio de lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (Boletín Oficial del Estado núm. 295 de 10 de diciembre de 2013) y en su correspondiente normativa de desarrollo, salvo autorización previa y expresa, las siguientes actuaciones están explícitamente prohibidas:

a) Acceder a información sensible, confidencial o protegida sin la debida autorización.

b) Comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceros (externos o internos no autorizados) información sensible, confidencial o protegida propiedad de la URJC.

c) Publicar o transmitir información sensible, confidencial o protegida, a personas, empresas o sistemas de información externos a la misma o no autorizados.

d) Si se autorizara lo anterior, se comprobará la inexistencia de trabas legales para ello y se establecerá un contrato que incluya provisiones para la protección de la información proporcionales a los riesgos asociados a tal externalización.

e) Extraer información sensible, confidencial o protegida fuera de la organización por cualquier medio, salvo que las funciones propias del puesto de trabajo lo requieran.

f) Almacenar información privada, de cualquier naturaleza, en los recursos de almacenamiento compartido, especialmente cuando el tamaño de la misma perjudique al operativo de dichos recursos.

TÍTULO IV

Publicación de contenidos en la web

Artículo 22.- Publicación de contenidos en la web

1. En el uso del servicio de alojamiento de contenidos web, deberá tenerse en cuenta lo dispuesto en la normativa de Protección de Datos de Carácter Personal en todos aquellos contenidos que presenten datos de carácter personal. En especial, se evitará hacer públicos mediante este servicio datos personales salvo que esté legalmente establecido. En cualquier caso, se recomienda que sólo se permita el acceso a información personal al interesado. Es también necesario retirar de publicación estos documentos cuando haya concluido el período en el que esté justificada su exposición.

2. La publicación de calificaciones deberá atender de igual modo a lo dispuesto en la normativa de Protección de Datos de Carácter Personal, permitiéndose sólo la publicación de las calificaciones mediante las herramientas dispuestas para ello a fin de que sólo los interesados conozcan sus calificaciones, o bien publicando dichos datos de forma disociada (tratamiento de los datos de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable).

3. En relación a la identidad visual corporativa, el logotipo de la Universidad Rey Juan Carlos, no podrá ser objeto de modificación en sus colores corporativos, tipográficas y aplicaciones.

4. El logotipo de la URJC deberá figurar siempre en lugar destacado, con prevalencia frente a otros logotipos o anagramas. El logotipo no podrá ser reproducido en ninguna forma distinta a las recogidas en el manual de identidad visual de la URJC. Tampoco podrá integrarse con otros elementos para formar una nueva marca o signo de identidad. Deberá extremarse el celo para preservar el área de reserva, que es el espacio que hay que dejar alrededor del logotipo. Ningún otro elemento podrá rebasar este límite, evitando así la contaminación visual del símbolo.

Asimismo, se deberá cumplir con todo lo dispuesto por la Ley de Servicios de la Sociedad de la Información, y especialmente en lo referido a las obligaciones sobre el uso de cookies. Dichos elementos de almacenamiento y recuperación de datos en equipos terminales, sólo podrán usarse a condición de que se informe al usuario sobre los mismos de forma clara, completa y previa a su instalación, debiendo contar con el consentimiento del usuario el cual puede ser tácito.

Artículo 23.- Dominios específicos distintos del corporativo

1. La Universidad Rey Juan Carlos tiene asociado el dominio urjc.es como dominio corporativo.

2. La creación de dominios alternativos, subdominios bajo urjc.es y asignación de nombres a servicios, requerirán autorización previa.

TÍTULO V

Datos de carácter personal y deber de secreto

Artículo 24.- Datos de carácter personal y deber de secreto

1. La información de la URJC que comprenda datos de carácter personal está protegida por la normativa de Protección de Datos de Carácter Personal.

2. Para garantizar dicha protección, se han adoptado las medidas de seguridad que se corresponden en función de la naturaleza de la información y la tipología de los tratamientos.

3. La documentación de seguridad, a los que se podrá acceder a través de la intranet de la Universidad Rey Juan Carlos, recogen los tratamientos y sistemas afectados y los responsables correspondientes. Todos los sistemas de información de la Universidad Rey Juan Carlos se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en la mencionada documentación.

4. Todo usuario interno o externo que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con la URJC.

5. Todas las áreas operativas de la URJC contarán con un Usuario de Referencia en materia de Protección de Datos de Carácter Personal, siendo sus responsabilidades las siguientes:

─ Identificar potenciales ficheros o tratamientos de datos de carácter personal no formalizados.

─ Velar por el cumplimiento de las medidas de seguridad, asegurando que las recogidas de información están debidamente informadas.

─ Detectar incumplimientos de cesiones y usos indebidos.

─ Comunicar al Delegado de Protección de Datos cualquier incidencia en esta materia.

Artículo 25.- Ficheros en soporte o documento papel

1. En relación con los ficheros en soporte o documento papel, se deberán cumplir los siguientes puntos:

─ Custodia de llaves de acceso a archivadores o dependencias: Mantener debidamente custodiadas las llaves de acceso a los locales o dependencias, despachos, así como a los armarios, archivadores u otros elementos que contenga soportes o documentos en papel con datos de carácter personal.

─ Cierre de despachos o dependencias: En caso de disponer de un despacho, cerrar con llave la puerta, al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados.

─ Almacenamiento de soportes o documentos en papel: guardar todos los soportes o documentos que contengan información de carácter personal en un lugar seguro, cuando éstos no sean usados, particularmente, fuera de la jornada laboral. Cuando estos soportes o documentos, no se encuentren almacenados, por estar siendo revisados o tramitados, será la persona que se encuentre a su cargo la que deba custodiar e impedir, en todo momento, que un tercero no autorizado pueda tener acceso.

─ No dejar en fotocopiadoras, faxes o impresoras papeles con datos de carácter personal: Asegurarse de que no quedan documentos impresos que contengan datos personales, en la bandeja de salida de la fotocopiadora, impresora o faxes.

─ Documentos no visibles en los escritorios, mostradores u otro mobiliario: se deberá mantener la confidencialidad de los datos personales que consten en los documentos depositados o almacenados en los escritorios, mostradores u otro mobiliario.

─ Desechado y destrucción de soportes o documentos en papel con datos personales: no tirar soportes o documentos en papel, donde se contengan datos personales, a papeleras o contenedores, de modo que pueda ser legible o fácilmente recuperable la información. A estos efectos, deberá ser siempre desechada o destruida mediante las destructoras de papel de las que dispone la Universidad Rey Juan Carlos.

2. De conformidad con la normativa vigente en materia de protección de datos personales, queda prohibido desechar soportes o documentos que contengan datos de carácter personal sin su previa y fehaciente destrucción:

─ Archivo de soportes o documentos: los soportes o documentos en papel deberán ser almacenados de tal forma que garanticen la correcta conservación de los documentos, la localización y consulta de la información.

3. Los soportes o documentos se archivarán en el lugar correspondiente, de modo que permitan una buena conservación, clasificación, acceso y uso de los mismos.

4. No podrá acceder o utilizar los archivos pertenecientes a otros Departamentos, que compartan la sala o dependencia habilitada a archivo:

─ Traslado de soportes o documentos en papel con datos de carácter personal: en los procesos de traslado de soportes o documentos deberán adoptarse medidas dirigidas para impedir el acceso o manipulación por terceros y, de manera que, no pueda verse el contenido, sobre todo, si hubiere datos de carácter personal.

─ Traslado de dependencias: en caso de cambiar de dependencia, en el proceso de traslado de los soportes o documentos en papel, se deberá realizar con el debido orden. Asimismo, se procurará mantener fuera del alcance de la vista de cualquier personal de la entidad, aquellos documentos o soportes en papel donde consten datos de carácter personal.

─ Envío de datos personales sensibles en sobre cerrado: si se envían a terceros ajenos a la Universidad Rey Juan Carlos, datos especialmente sensibles (esto es, salud, ideología, religión, creencias, origen racial o étnico) contenidos en soporte o documento papel, se debe realizar, en sobre cerrado y, en cualquier caso, tener presente que haya de efectuarse por medio de correo certificado o a través de una forma de correo ordinario que permita su completa confidencialidad.

─ Comunicación de incidencias que afecten a la seguridad de datos de carácter personal: Comunicar las incidencias de las que tenga conocimiento y que puedan afectar a la seguridad de los datos personales.

TÍTULO VI

Política de uso

Artículo 26.- Política de uso

1. Ante un posible incumplimiento de las obligaciones de usuario que pueda suponer un perjuicio para los sistemas y recursos de la universidad, el Director del Área de Tecnologías de la Información y/o el Responsable de Seguridad, en el ejercicio de sus funciones, podrá proceder a la suspensión cautelar del servicio prestado y/o bloqueo temporal de sistemas, cuentas o accesos a la red de forma preventiva, con el fin de garantizar el buen funcionamiento de los servicios de la Universidad.

2. Ante un posible incumplimiento de las obligaciones de usuario que pueda suponer un uso indebido de la información o perjuicio de sus titulares, el Responsable de la Información, en el ejercicio de sus funciones, podrá proceder a la suspensión cautelar del servicio prestado y/o bloqueo temporal de sistemas, cuentas o accesos a la red de forma preventiva, con el fin de evitar dichos perjuicios.

3. En los demás supuestos de incumplimiento, se advertirá del hecho al infractor. En caso de que el usuario no responda o ignore la advertencia, se estará a lo dispuesto en la normativa vigente en materia de régimen disciplinario.

4. La Universidad Rey Juan Carlos pondrá en conocimiento de la autoridad judicial y las Fuerzas y Cuerpos de Seguridad del Estado aquellas infracciones que pueden ser constitutivas de delito.

DISPOSICIÓN ADICIONAL

La aplicación de esta normativa estará caracterizada por un proceso de mejora continua, como así se prevé en el Esquema Nacional de Seguridad. Por tanto, en la aplicación de los controles derivados de la normativa, se realizarán las oportunas comunicaciones y campañas de información para que puedan solicitarse las excepciones previstas en la misma, en aras de no interferir en el desarrollo de las actividades docente e investigadora.

DISPOSICIÓN DEROGATORIA

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en la presente normativa. Y en concreto, queda expresamente derogada la Resolución del 7 de mayo de 2018.

DISPOSICIÓN FINAL ÚNICA

La presente normativa entrará en vigor el día siguiente de su publicación en el Boletín Oficial de la Comunidad de Madrid.

Contra la presente resolución, que agota la vía administrativa, cabe interponer recurso contencioso-administrativo ante los Juzgados de lo Contencioso-Administrativo de Madrid, en el plazo de dos meses contados desde el día siguiente al de la notificación de la presente resolución, según lo dispuesto en el art. 46.1 de la Ley 29/1.998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa. No obstante y sin perjuicio de que se pueda ejercitar cualquier otro que se estime procedente, el interesado puede optar por interponer contra la presente Resolución recurso potestativo de reposición ante el mismo órgano que la hubiera dictado, en el plazo de un mes contado desde el día siguiente a su notificación, en cuyo caso no podrá interponer el recurso contencioso-administrativo anteriormente mencionado en tanto no sea resuelto expresamente o se haya producido la desestimación presunta del recurso de reposición interpuesto, conforme a lo previsto en los artículos 123 y 124 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.